iWorm: Apple Malware infiziert über 18.000 Macs

BetriebssystemSicherheitVirusWorkspace
iWorm konnte sich auch in Europa verbreiten (Bild: Dr. Web).

Der russische Sicherheitsexperte Dr. Web hat die Malware Mac.BackDoor.iWorm Ende September entdeckt. Die Malware-Erkennung XProtect hat Apple mit Signaturen für drei bekannte iWorm-Varianten aktualisiert.

Apple hat die Malware-Erkennung XProtect mit aktualisierten Malware-Signaturen ausgestattet. Sie kann nun auch “iWorm” erkennen und entfernen. Vergangene Woche hatte der russische Sicherheitsspezialist Dr. Web die Malware Mac.BackDoor.iWorm gemeldet. Mittlerweile sollen davon über 18.500 Macs betroffen sein.

Rund ein Viertel der infizierten Macs stammen aus den USA und haben versucht sich mit Kontrollservern zu verbinden. In Großbritannien sowie Kanada sind jeweils 1200 Rechner betroffen. Wie sich die Schadsoftware verbreitet, ist bislang nicht bekannt.

iWorm konnte sich auch in Europa verbreiten (Bild: Dr. Web).
iWorm konnte sich auch in Europa verbreiten (Bild: Dr. Web).

Den Nachforschungen von Dr. Web zufolge haben die Angreifer für die Entwicklung der Malware C++ sowie Lua verwendet. Zudem setzen sie Verschlüsselung in großem Umfang ein. Während der Installation entpackt sie sich in /Library/Application Support/JavaW und generiert eine P-List-Datei, um für den automatischen Start der Hintertür zu sorgen. Anschließend öffnet iWorm einen Port und versucht, eine Verbindung mit einem Kontrollserver aufzubauen. Das Programm sucht in der Social-News-Site reddit.com nach verfügbaren Kontrollservern. Offenbar verstecken die Hintermänner in dort veröffentlichten Kommentaren wechselnde Serveradressen.

Bereits 2012 spürte Dr. Web den weit verbreiteten Mac-Trojaner Flashback auf, die Reaktion von Apple darauf fiel nur zögerlich aus. Aus diesem Grund konnte die Malware etwa 600.000 Macs infizieren, bevor Apple ein Tool für ihre Entfernung bereitstellte.

Für Bedrohungen durch neue Schadsoftware aktualisierte Apple regelmäßig die Malware-Signaturen für das in OS X integrierte XProtect. Wann der iPhone-Hersteller neue Signaturen hinzufügt, macht es nicht öffentlicht, aber neugierige Tüftler können sie ermitteln. MacRumors hat die hinzugefügte iWorm-Abwehr zuerst entdeckt.

ZDNet.com konnte bestätigen, dass XProtect.plist am 4. Oktober aktualisiert wurde mit Definitionen für drei Varianten von iWorm, die als OSX.iWorm.A, OSX.iWorm.B sowie OSX.iWorm.C bezeichnet werden. Derzeit enthält die Liste Definitionen für insgesamt rund 40 Schadprogramme. Apple nutzt das Feature außerdem, um auf Macs veraltete Versionen von Flash und Java zu blockieren, die Hacker oft als Einfallstor nutzen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de