Mac-Variante von Wurm Koobface aufgetaucht

Sie verbreitet sich - wie der Windows-Wurm - hauptsächlich über Soziale Netze wie Facebook und MySpace. Die Malware versteckt sich in bösartigen Java-Applets. Das Risiko ist laut Intego derzeit gering: Koobface ist fehlerhaft programmiert.

von Anita Klingler am 29. Oktober 2010 , 15:20 Uhr

Der Sicherheitsanbieter Intego warnt vor einer Koobface-Variante, die es auf Mac-Anwender abgesehen hat. Sie verbreitet sich vornehmlich über Soziale Netze wie Facebook, MySpace und Twitter.

Integos Virenüberwachungszentrum habe die Malware seit geraumer Zeit unter die Lupe genommen, aber aufgrund des niedrigen Risikos bis dato keine offizielle Warnung ausgegeben, heißt es in einem Blogeintrag. Da Falschinformationen im Umlauf seien, habe man sich aber dazu entschlossen, ein Sicherheitsmemo zu veröffentlichen.

Intego zufolge handelt es sich um eine auf Mac OS X zugeschnittene Version des Wurms Koobface, die Computer über ein bösartiges Java-Applet attackiert. Koobface wird per Trojaner auf ein System gelotst, wo er unter anderem ein Rootkit und eine Backdoor installiert sowie eine Verbindung zu einem Kontrollserver aufbaut.

Zwar kommen die meisten Angriffe via Social Networks, aber laut Intego versteckt sich der Wurm auch in Links auf anderen Websites. Diese verweisen auf Videosites, die ihrerseits versuchen, ein Java-Applet zu laden. OS-X-Anwender werden standardmäßig aufgefordert, den Vorgang zu bestätigen. Verweigern sie den Zugriff, wird der Wurm nicht auf dem Computer installiert. Gestattet ein Nutzer den Zugriff, versucht das Applet, Dateien von einem oder mehreren Remote-Servern herunterzuladen.

Ist der Download erfolgreich, legt der Wurm die Dateien in einem unsichtbaren Ordner (.jnana) im Home-Folder ab und versucht einen ebenfalls heruntergeladenen Installer auszuführen. Laut Intego findet dieser zweite Schritt nicht zwangsläufig statt – entweder aufgrund von Bugs oder weil der kontaktierte Server nicht antwortet.

Im ungünstigsten Fall – wenn Koobface korrekt installiert ist – funktioniert die Malware genauso wie ihre Windows-Variante: Sie betreibt einen lokalen Web- sowie einen IRC-Server, wird zum Teil eines Botnetzes und manipuliert DNS-Adressen.

„Obwohl es sich um ein sehr bösartiges Stück Malware handelt, ist die kursierende Mac-OS-X-Implementierung fehlerhaft“, heißt es im Intego-Blog. „Dennoch sollten sich Mac-Anwender der Gefahr bewusst sein und davon ausgehen, dass Koobface auch in Zukunft aktiv sein wird. Der Trojaner könnte durchaus zum Problem für Macs werden.“

Mit Koobface infizierte Sites versuchen, ein Java-Applet auszuführen. Mac OS X fragt zuvor nach (Bild: Intego).