Anzeichen für erstes Botnetz aus Macs (Update)

Zwei Symantec-Mitarbeiter berichten von Hinweisen darauf, dass gekaperte Macs missbraucht wurden, um den Dienst einer nicht genannten Website zu stören.

In Pocket speichern vorlesen Druckansicht 587 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Dusan Zivadinovic

Mitarbeiter des Software-Hauses Symantec berichten im "Virus Bulletin" von einer direkten Verbindung zwischen einer präparierten Kopie von Apples Software iWork 09 und dem anscheinend ersten Botnetz aus Mac-OS-X-Rechnern. Demnach konnten Mario Ballano Barcena und Alfredo Pesoli zwei Malware-Varianten eines Trojaners identifizieren – OSX.Iservice und OSX.Iservice.B, die mit verschiedenen Methoden das Benutzerpasswort ausspähen und die Kontrolle über den infizierten Mac übernehmen.

Beide Trojaner-Varianten wurden in manipulierten Kopien der Programme iWork 09 und Adobe Photoshop CS4 gefunden, die über BitTorrent-Downloads verbreitet werden. Bei den Programmen handelt es sich um Demo-Versionen, die um Installationspakete für die Trojaner erweitert wurden. Die Macs der Torrent-Nutzer, die sich die präparierten Dateien beschafften, wurden während der Installation der Demo-Programme infiziert. Symantec nimmt an, dass einige Tausend Macs betroffen sind.

(Update:) Unter Berufung auf den IT-Sicherheitsexperten David Taylor von der Uni Pennsylvania berichtete die Online-Ausgabe der Washington Post bereits vor drei Jahren über Botnetze aus Mac-OS- und Linux-Rechnern. Der im Herbst 2005 gefundene Schad-Code nutzte allerdings eine PHP-Schwachstelle – deshalb ist es wahrscheinlich, dass damals eher Webserver und keine Desktop-PCs befallen waren.

Die jetzt aufgetauchte Schadsoftware ist zwar bereits bekannt, aber nun gibt es laut den Symantec-Autoren Hinweise dafür, dass die gekaperten Rechner missbraucht worden sind, um den Dienst einer nicht genannten Website mit DDoS-Attacken zu stören. Grundlage dafür sei ein PHP-Skript, das mit Root-Rechten ausgeführt wurde. Zwar seien die Angriffe nicht direkt beobachtet worden, aber aus der im Skript verwendeten Web-Adresse und einem nicht näher bezeichneten Angriffsprotokoll auf ebendiese Adresse, sei auf das Mac-Botnetz als Werkzeug rückzuschließen. Im Weiteren beschreibt der Beitrag die Peer-to-Peer-Funktion des Botnetzes, die Verschlüsselung der Kommunikation und anderes mehr. Die Autoren schließen aus der Analyse des Schädlings, dass aufgrund dessen flexiblen und erweiterbaren Ansatzes weitere Versionen keine Überraschung wären. (dz)