Schadcode für Mac OS X wird gefährlicher

Seit längerer Zeit ist der DNS-Changer-Schadcode für Mac OS X bekannt. Dieser versucht, die DNS-Einstellungen des angegriffenen Rechners zu verändern. Der Schadcode braucht jedoch die Interaktion des Anwenders. Dieser muss ein valides Passwort eingeben, damit sich das Script installieren kann. Es erzeugt derzeit einen Eintrag in der crontab namens Adobe Flash und führt sich alle fünf Minuten aus. Der Cronjob lädt alles herunter, was seine Meister ihm befehlen. Derzeit ist das eine Änderung der DNS-Server-Einträge.

Laut SANS könnten die Angreifer bereits beliebigen Code herunterladen und ausführen lassen. Mit dieser Snort-Signatur können Sie eine eventuelle Infektion ausfindig machen. Der OS-X-Befehl dafür lautet: /usr/sbin/scutil --dns | grep nameserver. Die Infrastruktur und der Malware-Code ließen sich einfach modifizieren. Somit könnte diese Art der Entdeckung bald obsolet sein. (jdo)