Apple aktualisiert Malware-Signaturen zum Schutz vor „iWorm“

Die Malware Mac.BackDoor.iWorm wurde Ende September vom russischen Sicherheitsexperten Dr. Web gemeldet. Das Schadprogramm hat bereits über 18.500 Macs infiziert. Apple hat Signaturen für drei bekannte iWorm-Varianten in seine Malware-Erkennung XProtect aufgenommen.

Apples Malware-Erkennung XProtect kann dank aktualisierter Malware-Signaturen jetzt auch „iWorm“ entdecken und entfernen. Die vom russischen Sicherheitsspezialisten Dr. Web in der letzten Woche gemeldete Malware Mac.BackDoor.iWorm soll inzwischen bereits über 18.500 Macs infiziert haben.

Etwa ein Viertel der infizierten Macs versuchte sich aus den USA mit Kontrollservern zu verbinden, aber auch Großbritannien und Kanada waren mit jeweils 1200 Rechnern dabei. Unklar ist jedoch noch immer, auf welchen Wegen sich die Schadsoftware verbreitet.

iWorm konnte sich auch in Europa verbreiten (Bild: Dr. Web).iWorm konnte sich auch in Europa verbreiten (Bild: Dr. Web).

 

Wie Dr. Web herausfand, wurde die Malware mit C++ sowie Lua entwickelt und nutzt Verschlüsselung in großem Umfang. Während der Installation entpackt sie sich in /Library/Application Support/JavaW und generiert eine P-List-Datei, um für den automatischen Start der Hintertür zu sorgen. iWorm öffnet dann einen Port und versucht, sich mit einem Kontrollserver zu verbinden. Eine gewisse Raffinesse zeigt sich darin, dass das Programm verfügbare Kontrollserver über eine Suche in der Social-News-Site reddit.com zu ermitteln sucht. Die Hintermänner verstecken offenbar wechselnde Serveradressen in dort veröffentlichten Kommentaren.

Dr. Web war auch die Sicherheitsfirma, die den im Jahr 2012 weit verbreiteten Mac-Trojaner Flashback entdeckte, auf den Apple zögerlich reagierte. Die Malware konnte daher rund 600.000 Macs infizieren, bevor Apple ein Tool für ihre Entfernung bereitstellte.

Apple reagiert auf Bedrohungen durch neue Schadsoftware regelmäßig durch aktualisierte Malware-Signaturen für das in OS X integrierte XProtect. Der Hersteller macht nicht öffentlich, wenn es neue Signaturen hinzufügt, aber neugierige Tüftler können sie ermitteln. Entdeckt wurde die neu hinzugekommene iWorm-Abwehr zuerst von MacRumors.

ZDNet.com konnte bestätigen, dass XProtect.plist am 4. Oktober aktualisiert wurde mit Definitionen für drei Varianten von iWorm, die als OSX.iWorm.A, OSX.iWorm.B sowie OSX.iWorm.C bezeichnet werden.. Derzeit enthält die Liste Definitionen für insgesamt rund 40 Schadprogramme. Apple nutzt das Feature außerdem, um auf Macs veraltete Versionen von Flash und Java zu blockieren, die Hacker oft als Einfallstor nutzen.

[mit Material von Liam Tung, ZDNet.com]

Themenseiten: Apple, Mac OS X, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Apple aktualisiert Malware-Signaturen zum Schutz vor „iWorm“

Kommentar hinzufügen
  • Am 7. Oktober 2014 um 11:25 von C

    18.500 OS-X Macs jetzt infiziert, 600.000 im Jahr 2012.

    Nach Ansicht der Hard-Core Apfel-Freunde gibt es so etwas ja eigentlich nicht, da Apple/OSX ja – per se – sicher ist.
    Gut, dass wir das ja nun ENDGÜLTIG jetzt geklärt haben…
    Ich hatte mich auch gewundert, warum auf der Apfel-Support Seite immer diese unnötigen Security-Patches auftauchten….

    Zwei Fragen:
    1. Ist OSX das Problem oder der User?
    2. Was ist mit der Reinigung des Systems?

    Zu 1:
    Gibt es ein OSX Bug, oder sitzt das Problem 40cm vor dem Screen?
    Wenn es ein OSX Bug ist, müssen schnellstens Patches her.
    Wenn es der User ist – ist Information/Warnung nötig.
    Gerüchte sprechen von Bittorrent & Raubkopien. Raubkopien? Bei Usern, die sich extra teure Geräte leisten? Merkwürdig.

    Zu 2:
    Der Apfel liefert bei seinem „VirenScanner“ ja nur eine Verhinderungs-Funktion mit. Was ist mit Cleaning eines bereits infizierten Systems?

    • Am 7. Oktober 2014 um 16:15 von WDSE

      Schade, dass dein Ton so daneben ist, weil die Fragen wichtig sind. Kein System ist absolut sicher, meine langjährige Erfahrung mit Windows und Mac sagt mir allerdings dass Macs tendenziell sicherer, weil u. a. wie in diesem Fall bei jeglicher Installation ob gewollt oder nicht der User als Administrator zustimmen muss inkl Passworteingabe
      Zu 2) der Schàdling wird auch entfernt
      Ps. Ich bin kein Fanboy und sehe auch viele Schwachpunkte bei Apple

    • Am 7. Oktober 2014 um 20:36 von Oha

      Aha?

      Du meinst alao, wenn jemand so naiv ist illegale Kopien von kommerzieller Software zu laden, DANN den eingebauten Schutz in OS X deaktiviert, um der Schadsoftware die Tür zu öffnen … und sich dann 17.000 Leute diese einfangen – dann ist das Apples Problem?

      Sorry, aber das ist Unsinn.

      Wäre so, als ob beim Windows die illegal beschaffte Software für die Installation explizit Admin Rechte verlangt, und Du dann behaupten würdest, Microsoft sei schuld, weil Du Raubkopien von dubiosen Seiten installierst.

      Beides ist Unsinn. ;-)

      Nur mit dem Unterschied, dass wohl über 80% der Windows Nutzer mit Adminrechten surfen, und diese Frage daher nie kriegen.

      Und dann haben gleich mehrere Millionen User das Problem.

      Aber ist ja klar, dass Du 17.000 OS X Betroffene mit x Millionen Windows Betroffenen gleichsetzt, und schlimmer findest – Du bist ja auch befangen. ;-)

      Für Dich sind ja auch 200 Behördenanfragen an Apple schlimmer als 20.000 beantwortete Anfragen an Google – 100 Mal so viele – und Google ist für Dich ‚harmlos‘. ;-)

      • Am 10. Oktober 2014 um 8:37 von punisher

        Was der für zahlen vergleicht…
        > 90% Windows
        < 6 % OSX

        Na dann viel Spaß mit 17.000 zu x Millionen…. Hauptsache ein anderer hat ne größere Zahl am selben Problem, das er den markt beherrscht ist egal. Diese sinnlosen Gedankengänge zeigen deine blinde Neigung zu apple.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *