Doctor Web, F-Secure und Sophos

Halbe Million Macs mit Trojanern infiziert

05.04.2012
Die Zeit der Sicherheit könnte für Mac-Nutzer vorbei sein. Das bislang von Virenbefall weitgehend verschonte Mac-Betriebssystem von Apple ist Ziel einer infektiösen Attacke geworden. Mehr als eine halbe Million Rechner weltweit sollen bereits betroffen sein.

Mehr als eine halbe Million Macintosh-Computer sind dem Antiviren-Experten Doctor Web zufolge weltweit mit einer Schadsoftware infiziert. Der Trojaner verbreitet sich über eine Lücke in der Programmiersprache Java vor allem durch den Besuch präparierter Internetseiten. Nahezu 600 000 Apple-Rechner mit Mac OS X-Betriebssystem hätten sich bereits den Trojaner BackDoor-Flashback eingefangen, teilte der russische IT-Sicherheitsexperte mit. Die Rechner könnten anschließend von Kriminellen zu einem Botnetz verbunden und ferngesteuert werden.

Weltweite Verteilung der verseuchten Macs. Quelle: Doctor Web, April 2012
Foto: Doctor Web

Die Infektion mit dem schon länger bekannten Trojaner soll sich innerhalb weniger Tage massenhaft ausgebreitet haben. "Unserer Untersuchung nach sind bis dato weltweit über 550 000 Mac-Computer im Botnet mit dem Trojaner BackDoor.Flashback.39 infiziert", sagte Pierre Curien, Geschäftsführer von Doctor Web Deutschland. Vor allem seien Rechner in den USA, Kanada und Großbritannien betroffen. In Deutschland liege der Anteil der Infektionen bei nur 0,4 Prozent.

Der Flashback-Trojaner ist schon länger bekannt. Die Schadsoftware versucht Nutzer zum Herunterladen einer Software zu bewegen, indem sie sich als Flash-Player im Internet ausgibt. Laut F-Secure verlangt die Malware an einem bestimmten Punkt des Installationsprozesses die Eingabe eines Administrator-Passworts, versucht sich aber auch zu installieren, wenn der Nutzer dies verweigert. Den Mac-Nutzern empfehlen die Spezialisten, ein von Apple bereitgestelltes Sicherheits-Update herunterzuladen und zu installieren, mit der die Lücke in Java geschlossen wird.

"Die Zeit, in der Macs als besonders sicher galten, ist lange vorbei", sagte Markus Hennig, Technikchef beim Sicherheitsspezialisten Sophos. "Inzwischen ist auch hier die kritische Masse erreicht, um sie für Angriffe interessant zu machen." Auch Unternehmen sollten ihre Apple Rechner professionell gegen Malware absichern, rät Hennig. Sophos hat bereits eine Antivirensoftware für Macs ins Netz gestellt, die infizierte Rechner wieder bereinigen soll und bietet sie kostenlos zum Download an.

Botnetz schon länger aktiv

Der Flashback-Trojaner ist schon länger bekannt. Die Schadsoftware versucht Nutzer zum Herunterladen einer Software zu bewegen, indem sie sich als Flash-Player im Internet ausgibt. Laut F-Secure verlangt die Malware an einem bestimmten Punkt des Installationsprozesses die Eingabe eines Administrator-Passworts, versucht sich aber auch zu installieren, wenn der Nutzer dies verweigert.

Die von Doctor Web analysierten Webseiten enthalten ein kleines Java-Skript, mit dessen Hilfe die Schadsoftware über den Browser heruntergeladen wird. Der Schädling speichert auf der Festplatte dann eine ausführbare Datei, die selbständig weitere Befehle aus dem Netz herunterladen könne, erklärte Doctor Web. Auch über die Google-Suche seien über vier Millionen infizierte Websites angezeigt worden.

Die gekaperten Rechner schließen sich anschließend zu einem sogenannten Botnet zusammen. Jedes dieser Netzwerke übermittelt dem Verwaltungsserver die Identifikationsnummern der infizierten Rechner. Den russischen Experten sei es gelungen, diese Daten auf eigene Server umzuleiten und somit auch die Gesamtzahl der infizierten Rechner zu kalkulieren. (dpa/rw)