Virus für Mac OS X aufgetaucht

Die Zeiten, in denen Mac-Benutzer unbehelligt von Viren ihrer Arbeit nachgehen konnten, scheinen vorbei zu sein. In einem Diskussionsforum ist die erste Software aufgetaucht, die sich im System einnistet und versucht, sich weiter zu verbreiten.

In Pocket speichern vorlesen Druckansicht 519 Kommentare lesen
Lesezeit: 5 Min.
Von

Im Forum der Webseite MacRumors hat ein Unbekannter einen Link auf die Datei latestpics.tgz veröffentlicht, die angeblich Bilder der neuen Benutzeroberfläche von Mac OS X 10.5 (Codename Leopard) enthält. Nach dem Entpacken des Archives kommt die Datei latestpics mit dem Symbol für JPEG-Bilddateien zum Vorschein. Tatsächlich landet beim Entpacken noch die Datei ._latestpics auf der Platte, die der Mac-Finder wegen des führenden Punktes im Dateinamen jedoch standardmäßig nicht anzeigt. In der Datei steckt der Ressource-Zweig von latestpics, der aber nur das JEPG-Dateisymbol enthält, das der Programmautor über den Informationsdialog im Finder als so genanntes Custom Icon eingesetzt hat.

Bei latestpics handelt es sich allerdings nicht um ein Bild, sondern ein ausführbares Kommandozeilenprogramm. Nach einem Doppelklick zeigt sich nur kurz ein Terminalfenster, aber kein Bild von Apples Leoparden.

Erste Analysen durch Andrew Welch von Ambrosia Software haben ergeben, dass sich der Virus aus Bestandteilen seiner Binärdatei selbst wieder in ein Archiv verpackt und als InputManager namens "apphook.bundle" im Betriebssystem installiert. Beim Start einer Anwendung lädt das System alle vorhandenen InputManager in den Adressbereich der Anwendung, sodass der Virus dann aktiv wird. Ursprünglich waren diese kleinen Erweiterungen dazu gedacht, alternative Eingabemethoden zu implementieren oder Tastenkürzel an Menüpunkte anzuhängen.

Der Virus versendet sein Archiv laut Welch an die Kontakte in Apples iChat. Der Mechanismus für den Versand mit Apple Mail ist wohl vorbereitet, aber noch nicht vollständig implementiert. Außerdem sucht der Virus mit der Suchfunktion Spotlight von Mac OS X 10.4 die vier zuletzt benutzten Programme und versucht, sie zu infizieren.

Wo sich latestpics als InputManager einnistet, hängt davon ab, welcher Gruppe der Benutzer angehört. Ist er ein Administrator, schreibt er sich in das Verzeichnis /Library/InputManagers und wird dann bei jedem Programm aktiv, das auf dem Rechner startet. Bei einem Anwender ohne Administratorrechte nistet sich der Virus in ~/Library/InputManagers ein. Dann lädt ihn das System nur, wenn dieser Anwender ein Programm startet.

Mehrere Maßnahmen können die Ausbreitung des Virus verhindern. Zum einen sollte man auf keinen Fall Dateien öffnen, deren Ursprung man nicht kennt. Außerdem sollte man nicht mit einem Administratorkonto arbeiten. Da Mac OS X bei fast jeder Aktion automatisch nach Konto und Passwort fragt, wenn es spezielle Rechte benötigt, muss man sich beim Arbeiten mit eingeschränkten Rechten kaum umgewöhnen. Ob man als Administrator arbeitet, kann man in den Systemeinstellungen unter "Benutzer" an der gesetzten Option "Der Benutzer darf diesen Computer verwalten" erkennen. Ist das der Fall, sollte man ein weiteres Konto zum täglichen Arbeiten ohne dieses Recht anlegen.

Weitere Informationen zum sicheren Arbeiten ohne Administratorrechte unter Mac OS X liefert der Artikel Sichere Bescheidenheit in c't 16/2005 auf Seite 176.

Als zusätzliche Maßnahme kann man durch geschickte Rechtevergabe verhindern, dass sich der Virus im Verzeichnis /InputManager festsetzen kann:
Legen Sie, falls noch nicht vorhanden, mit dem Programm Terminal das Verzeichnis /Library/InputManagers mit
sudo mkdir /Library/InputManagers
an. Übereignen Sie es mit
sudo chown root:wheel /Library/InputManagers
dem Super-User root und seiner Gruppe wheel. Mit
sudo chmod go-w /Library/InputManagers
stellen Sie sicher, dass nur root etwas hineinschreiben darf. Analog verfahren Sie mit ~/Library/InputManagers. Diese Änderungen beinträchtigen die Funktion bereits vorhandener InputManager nicht. Für diese Vorgehensweise müssen Sie als Administrator angemeldet sein, sudo verlangt außerdem nach einem gültigen Kennwort.

Derweil laufen hitzige Diskussionen, ob es sich bei dem Schädling um einen Virus oder Trojaner handelt. Einige Verfechter meinen, ein Virus müsse sich selbst über Systemschwachstellen übers Netz verbreiten. Das ist allerdings eigentlich die Definition für einen Wurm. Durch die apphook-Komponente bedient der Virus möglicherweise die Trojaner-Definition; es könnte sich dabei um einen Keylogger handeln. Als Wurm qualifiziert sich das Schadprogramm, das etwa von Sophos OSX/Leap.A getauft wurde, da es sich über iChat an die Kontakte verschickt.

Immerhin ist das Auftauchen dieses Schädlings eine Premiere: Es ist die erste Schadsoftware für Mac OS X, die sich fortzupflanzen und in Anwendungen einzuklinken versucht. Die Mac-Plattform ist inzwischen wohl auch für böswillige Programmierer interessant geworden. Mac-Nutzer müssen nun also wie ihre Windows- und Linux-Kollegen verschärftes Augenmerk darauf richten, welche Dateien aus dem Netz sie ausführen.

Siehe dazu auch:

(adb/c't) & (dmk)