Opener ist kein Mac-OS-X-Virus
Im Gefolge einer Slashdot-Meldung stehen Mutmaßungen im Raum, die von einem Virus oder Wurm für Mac OS X sprechen -- die bekannten Tatsachen können die Befürchtungen allerdings nicht stützen.
Im Gefolge der Slashdot-Meldung 'Opener' Malware Targets OS X stehen auch Mutmaßungen im Raum, die von einem Virus oder Wurm für Mac OS X sprechen. Diese Einschätzung lässt sich jedoch mit den bekannten Tatsachen nicht stützen.
Der Slashdot-Artikel bezieht sich auf einen Bericht auf Macintouch, in dem ein Leser einen vermeintlichen Virus beschreibt, den er auf seinem System entdeckt habe. Kern des Ganzen ist ein Skript namens "opener", das über /Library/StartupItems/ automatisch gestartet wird und diverse Hintergrundaktivitäten entfaltet. Das Skript wurde bereits im März in einem Forum namens "Macintosh Underground" veröffentlicht und dort weiterentwickelt.
Im Wesentlichen handelt es sich bei opener um ein zusammengebasteltes Rootkit -- also einen Satz von Programmen und Tools, der einem Einbrecher die Kontrolle des Systems ermöglicht. Dazu installiert es diverse Hintertüren, spioniert Passwörter aus, protokolliert Tastatureingaben und so weiter. All diese Aufgaben wurden anscheinend mit Standardprogrammen wie John The Ripper, DSniff und ohphoneX realisiert, die offenbar auch nicht ernsthaft versteckt waren. Das verleiht dem Ganzen vor allem im Vergleich zu bekannten Rootkits für Linux und Windows einen etwas improvisierten Anstrich. Diese installieren oft sogar eigene Kernel-Module, um Prozesse oder Dateien vor dem rechtmäßigen Eigentümer zu verstecken.
Wie opener und sein Gefolge auf das System gekommen sind, lässt sich den Ausführungen nicht entnehmen; eine aktive Verbreitungsroutine ist jedenfalls nicht erwähnt. Das wahrscheinlichste Szenario ist, dass sich ein Einbrecher durch eine Sicherheitslücke übers Netz oder eventuell auch lokal Zugang zum System und auch Root-Rechte verschaffen konnte. Für seine weiteren Aktivitäten installierte er dann das handgestrickte Rootkit. Spekulationen über einen Opener-Virus oder -Wurm, der sich irgendwie selbst verbreiten würde, lassen sich mit den heise Security bisher bekannten Informationen jedoch nicht belegen.
Siehe dazu auch:
- Opener Malware auf Macintouch
- Nachlässige Installer können Sicherheit von Mac OS X schwächen auf heise Security
- Heimliche Hintertüren, Rootkits aufspüren und beseitigen, auf heise Security
