Apple-Viren - Gefahr für Mac und Windows

Wie man OSX.RSPlug.A erkennt und bereinigt

Insgesamt gibt es drei Merkmale für den Trojaner OSX.RSPlug.A. Ein Anzeichen für die Infektion mit dem Trojaner ist die Datei „plugins.settings“ im Ordner „/Library/Internet Plug- Ins“. Da allerdings Hacker dazu neigen, solche Dateinamen von Zeit zu Zeit zu ändern, versteckt sich der Trojaner möglicherweise hinter einem anderen Dateinamen.

Ein anderes Indiz ist ein Eintrag in der Auftragstabelle für den Benutzer „root“, die der Hintergrundprozess Cron auswertet. Diese Cron-Tabelle ist normalerweise für den Benutzer „root“ leer; allerdings hinterlassen manche Spezialprogramme dort Spuren, so dass auch dieses Indiz nicht eindeutig ist. Wer die Tabelle zur Sicherheit prüfen will, muss sich als Benutzer mit Verwaltungsrechten (siehe „Systemeinstellungen > Benutzer“) anmelden, das Dienstprogramm Terminal starten und dort den folgenden Befehl eintippen:

sudo crontab -l

Wenn man diesen Befehl eingibt und die Eingabetaste betätigt, muss man noch das Kennwort für den gerade aktiven Benutzer eintippen, damit das Unix-System den Befehl ausführt. Erhält man die folgende Antwort, kann man sich sicher sein, dass der Trojaner auf diesem Mac nicht aktiv ist:

crontab: no crontab for root

Umgekehrt gilt das aber nicht: Nicht jeder Eintrag in der Cron-Tabelle ist ein Hinweis auf OSX.RSPlug.A.

Die einzig eindeutige Methode, den Trojaner zu erkennen, ist ein Vergleich zwischen den Systemeinstellungen und der Information, die ein Unix-Befehl liefert – das ist aber nur unter Mac OS X 10.5 möglich:

scutil

show State:/Network/Global/DNS

...

exit

Der Befehl scutil liefert Informationen darüber, welche DNS-Server das Betriebssystem verwendet, um Internet-Namen wie www.tecchannel.de in die nummerische Form zu übersetzen. Der Trojaner ersetzt die normal zugeteilten DNS-Server in der Liste durch eigene Adressen, hinter denen manipulierte Systeme des Hackers stehen. Damit kann der Hacker den Browser zu völlig anderen Servern schicken. Wer beispielsweise auf der Suche nach www.ebay.com war, wurde vom Trojaner zu einer gefälschten Internet-Seite geleitet, die ähnlich aussieht wie Ebay USA, die aber nur dazu dient, Benutzername und Kennwort von Ebay-Teilnehmern in Erfahrung zu bringen.

Ist der Trojaner aktiv, stehen vor oder nach den normalen DNS-Einträgen weitere. Zum Vergleich kann man (nur unter Mac-OS X 10.5) die Liste der DNS-Einträge in den Systemeinstellungen prüfen (unter dem Punkt „Netzwerk“, wenn links die Schnittstelle gewählt ist, über die die Internet-Verbindung hergestellt wird).

<dictionary> {

ServerAddresses : <array> {

0 : 192.168.13.13

1 : 192.168.13.14

}

DomainName : officemuc.idg

}

Bei einem manipulierten System sieht in den Systemeinstellungen eine Liste von DNS-Servern, wobei die Einträge teilweise in grauen Buchstaben und teilweise in schwarzen dargestellt werden.

Ist ein System befallen, entfernt man den Trojaner am einfachsten mit einer Anti-Viren-Software, etwa dem kostenlosen ClamXav. Doch auch eine manuelle Reinigung ist möglich. Dazu müssen sie die Internet Plug-Ins sowie den entsprechenden cron-Job entfernen. Die Seite MacApper hat dazu eine Anleitung geschrieben.