Flashback-Trojaner: Noch immer über eine halbe Million Macs infiziert

Der russische IT-Sicherheitsspezialist Dr.Web geht weiterhin von einer hohen Infektionsrate des bislang erfolgreichsten Mac-Schädlings aus. Die Angaben über die sinkende Trojaner-Verbreitung stimmten nicht und man wisse auch, weshalb.

In Pocket speichern vorlesen Druckansicht 260 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Jeremias Radke

Trotz Java-Updates und Anti-Trojaner-Tools sind weiterhin über 550.000 Apple-Rechner mit der bislang erfolgreichsten Mac-Malware infiziert, berichtet Dr.Web. Damit widerspricht der russische Sicherheitsspezialist den größeren Mitbewerbern Symantec und Kaspersky, die zuletzt einen deutlichen Rückgang der Infektionsrate auf 30.000 Macs verkündet hatten.

Dr.Web erklärte bereits am 20. April, dass sich die Zahl der täglich aktiven Macs des Flashback-Botnetzes auf etwa 550.000 Rechner eingependelt habe. Man hätte beobachtet, dass der Trojaner früher oder später mit einem Server Kontakt aufnimmt, der eine stehende TCP-Verbindung aufbaut und die Rechner somit in eine Art Standby-Zustand schickt. Da der AV-Hersteller früher als seine Mitbewerber angefangen habe, vom Schädling generierte Domains zu registrieren, könne man alle infizierten Rechner sehen. Die von anderen AV-Entwicklern betriebenen Server bekämen lediglich die Trojaner zu Gesicht, die sich nicht mit dem blockierenden Kommando-Server verbinden. Daraus resultiere dann die scheinbar zurückgehende Schädlingsverbreitung, schlussfolgert Dr.Web.

Ein kurzer Test von heise Security bestätigte, dass sich unter der angegebenen Adresse ein Server meldet, der zwar nicht antwortet, aber die Verbindung endlos offen hält. Interessant ist auch, dass sich besagter Server im Herzen des Silicon Valley befindet, wie eine kurze Recherche ergab.

Der Flashback-Erreger generiert nach einem bestimmten Muster Domains, die er reihum regelmäßig kontaktiert, um einen Steuer-Server zu finden, von dem er weitere Instruktionen erhält. Dr.Web und andere Anbieter von IT-Sicherheitslösungen haben den zugrundeliegenden Algorithmus entschlüsselt und große Teile der vom Schädling generierten Domainnamen registriert. Auf Basis der Kontaktversuche von Botnetz-Rechnern konnten die AV-Entwickler die Gesamtzahl der infizierten Macs zählen.

Inzwischen hat das im kalifornischen Mountain View beheimatete Sicherheitsunternehmen Symantec seine Einschätzung gegenüber dem US-Nachrichtenmagazin Forbes korrigiert und den Vermutungen von Dr.Web recht gegeben. Man habe den Blog-Beitrag der russischen Kollegen gelesen und glaube nun auch, nicht alle infizierten Rechner sehen zu können, da man weniger Domains registriert habe. Inzwischen würde man jedoch auch selbst wieder mehr befallene Macs "sehen".

Der Antiviren-Hersteller Kaspersky räumt in einem Statement gegenüber Mac & i ein, dass die von ihm ermittelten Zahlen falsch seien. Das Botnetz sei größer als bisher angenommen und man arbeite daran, die eigenen Forschungsergebnisse zu aktualisieren.

Dass die Infektionsrate trotz Sicherheits-Updates und Entfernungs-Tools von Apple und AV-Herstellern noch nicht sinkt, lässt auf eine niedrige Update-Bereitschaft der Anwender schließen. Hinzu kommt, dass auf rund 20 Prozent aller Apple-Computer noch immer Mac OS X 10.5 oder älter installiert ist. Für diese Systeme bietet Apple weder Sicherheits-Updates noch Trojaner-Deinstallations-Programme an.

Für die Entwickler von Anti-Viren-Programmen ist die jüngste Mac-Epidemie eine willkommene Gelegenheit, wieder verstärkt auf die Notwendigkeit von Virenscannern auch auf dem Mac zu pochen. Kaspersky sagt bereits einen Anstieg der Mac-Schädlinge aufgrund des gestiegenen Marktanteils Apples voraus. Der finnische Sicherheitsdienstleister F-Secure veröffentlichte hingegen im Januar eine Statistik, die zwar zeigt, dass die Anzahl der Mac-Schädlinge tatsächlich steigt, ein "Hochskalieren" der Bedrohung aufgrund des zunehmenden Mac-Marktanteiles aber nicht zu beobachten sei. Der russische AV-Spezialist Kaspersky gestand Mac & i gegenüber ein, dass seine Anti-Viren-Lösung die jüngsten Versionen des Flashback-Trojaners nicht rechtzeitig erkannte.

Siehe dazu den Hintergrundartikel und das Diskussionsforum auf Mac & i:

(jra)