OSX.RSPlug.A und Ultracodec4313.dmg

Der erste Trojaner für Mac OS X ist da!

1. Artikel von Macworld-Redaktor Griffiths
2. Artikel von WWE:

«Jetzt ist er also da, der erste "richtige" Schädling für Mac OS X: "OSX.RSPlug.A" heisst der Übeltäter. Es ist ein Trojaner - kein Virus wie fälschlicherweise oft geschrieben. Er kann sich also nicht selber weiterverbreiten, sondern ist auf die gütige Mithilfe der Benutzer/innen angewiesen. Aber die ist bekanntlich leicht zu bekommen. Schaden anrichten kann er trotzdem, unter Umständen nicht zu knapp. Ich habe den Schädling mit eigenen Augen gesehen. Denn die Meldung im Internet war noch keine 5 Tage alt, da stand bei uns schon der erste Kunde auf der Matte mit einem infizierten MacBook Pro. Intego Virus Barrier hat den Schädling kaltgestellt und den Rechner wieder funktionstüchtig gemacht. Verbreitet wird "OSX.RSPlug.A" über Pornoseiten, getarnt als angeblich fehlender Video-Codec, den man sich herunterladen soll, um ein nicht ganz jugendfreies Video ansehen zu können. Für die Installation verlangt die geladene .dmg Datei das Administrator Passwort, das man natürlich in freudiger Erregung ahnungslos eingibt. Und schon nimmt das Unheil seinen Lauf. Der Schädling ändert die DNS-Einträge und leitet fortan Web-Anfragen um zu irgendwelchen fremden Rechnern, zum Beispiel um Passwörter für E-Banking abzufangen usw.

Aber damit nicht genug. Zusätzlich installiert "OSX.RSPlug.A" einen Cronjob, der im Minutentakt die falschen DNS Einträge wieder herstellt, sollte jemand dem Übeltäter auf die Schliche kommen und in den Systemeinstellungen die DNS Einträge korrigieren wollen. Eine ausführliche Beschreibung der Funktionsweise und Anleitung zum manuellen Entfernen des Schädlings gibt es auf WWE. Besser dran sind Anwender mit installiertem Intego Virus Barrier, der erkennt und entfernt den Schädling.

Virenschutz wird also fortan auch auf dem Mac ein Thema...»