iWorm infiziert tausende Macs

Der AV-Hersteller Dr. Web hat eine Malware namens Mac.BackDoor.iWorm entdeckt, die es auf Mac-Nutzer abgesehen hat. Ist der Schädling auf dem Mac aktiv, setzt er sich selbst auf die Liste der automatisch beim Rechnerstart zu öffnenden Applikationen und versucht die IP-Adresse eines Command-and-Control-Servers (C&C-Server) herauszufinden.

Adresssuche auf Reddit

Hierzu schickt er die ersten acht Bytes des Hash-Werts des aktuellen Datums an die Suchfunktion von reddit.com. Das Suchergebnis zeigte bis vor kurzem auf den Post /r/minecraftserverlists, in dessen Kommentaren die hinter dem Botnet stehenden Kriminellen die jeweils aktuellen IP-Adressen hinterlegten. Reddit hat das entsprechende Unterforum (Subreddit) inzwischen gesperrt.

Die Kommunikation zwischen C&C-Server und Bot wird per AES 256 verschlüsselt. Der Bot akzeptiert Kommandos unter anderem in der Programmiersprache Lua, so dass er durch ein entsprechendes Skript beispielsweise angewiesen werden kann, weitere Dateien herunter zu laden. So ließe sich die Funktionalität des Schädlings erweitern.

18.000 Macs infiziert

Laut Dr. Web waren vor einer Woche bereits rund 18.000 Macs mit dem iWorm infiziert, die meisten davon befinden sich in USA, Kanada und Großbritannien. Die Malware wird offenbar mindestens über BitTorrent verbreitet, Huckepack mit Raubkopien beliebter kommerzieller Programme wie etwa Adobe Photoshop, Adobe Illustrator, Microsoft Office und Parallels.

Apple hat offenbar am Wochenende reagiert und seinen mit Snow Leopard eingeführten Dateifilter mit Signaturen für gleich drei iWorm-Varianten ausgestattet. Ist das System auf dem aktuellen Stand, wird also die Installation dieser drei blockiert. Wie viele Varianten insgesamt im Umlauf sind, ist nicht bekannt. (rei)