Neue Variante: "Mac Defender" verlangt kein Passwort mehr
Bislang mussten potenzielle Opfer der Scareware sich zur Installation authentifizieren, nun reichen ein paar Klicks. Am Schadpotenzial ändert sich nichts.
Das Mac-Sicherheitsunternehmen Intego hat eine weitere Variante der OS-X-Scareware "Mac Defender" entdeckt. Wie die Firma in einer Mitteilung schreibt, sollen die Autoren des Schädlings, dessen Existenz mittlerweile auch Apple offiziell einräumt, beim Social-Engineering-Teil ihrer Software etwas schlauer vorgehen als zuvor. Bislang war es notwendig, den Installer von "Mac Defender", der vom Apple-Browser Safari standardmäßig automatisch ausgeführt wird, mit einem Administratoren-Passwort zu bestätigen. Jetzt umgeht der Schädling diese Hürde, indem er sich nur noch in das Verzeichnis des aktuellen Benutzers einnistet, schreibt Intego.
Auch sonst haben die "Mac-Defender"-Autoren den Installationsprozess verändert. Laut Intego wird nun zunächst eine Datei namens "avsetup.pkg" heruntergeladen, die zur Installation eines Programmes namens "Mac Guard" einlädt. Beim Installationsprozess wird dem Anwender nun kein Kennwort mehr abgerungen, es reichen einige Bestätigungsklicks. Daraufhin startet ein Hilfsprogramm (Dateiname: avRunner), das den eigentlichen "Mac-Defender"-Schädling nachlädt, der sich nun ebenfalls "Mac Guard" nennt. Die IP-Adresse des Servers, von dem es bezogen wird, haben die Entwickler in einer unauffälligen Bilddatei mit einfachen Steganographie-Verfahren versteckt. Nach dem Herunterladen und der Installation von "Mac Defender" alias "Mac Guard" werde das Original-Installationspaket rückstandslos gelöscht, so Intego.
Auch die neue Variante von "Mac Defender" arbeitet nach dem bisherigen Prinzip. Dabei findet sich auf verschiedenen Seiten im Web eine Werbung, die für ungeübte Mac-Nutzer aussieht wie eine Viruswarnung. Anschließend wird der Download des Installationspakets angestoßen, das in der Standardsicherheitseinstellung von Safari automatisch im Mac-OS-X-Installationsprogramm ausgeführt wird. Dann muss der Nutzer die Installation bestätigen – nun eben ohne Passwort. "Mac Defender" meldet sich später mit einem gefälschten "Virusscan" und versucht den Nutzer dazu zu nötigen, eine (unnötige) Virenschutzanwendung per Kreditkarte zu erwerben.
Eine Entfernungsanleitung hat Apple mittlerweile in seine Supportdatenbank gestellt. Das nächste Mac-OS-X-Update soll außerdem "Mac Defender" automatisch erkennen und löschen können – in welchen Varianten, ist bislang unklar. (bsc)
