Im vergangenen Monat wurde mehrmals über Trojaner berichtet, die unerwünschte Werbe-Applikationen für Windows-Anwender verbreiten. Cyber-Kriminelle beschränken sich jedoch nicht nur auf dieses Betriebssystem und haben sich mit Adware.Mac.WeDownload.1 auch Mac OS X vorgeknöpft.
(firmenpresse) - Adware.Mac.WeDownload.1 stellt eine gefälschte Installationsdatei von Adobe Flash Player dar und hat die folgende digitale Signatur: "Developer ID Application: Simon Max (GW6F4C87KX)". Dieser Downloader verbreitet sich über ein Partnerprogramm, welches den Datentraffic monetisiert.
Während der Installation fragt Adware.Mac.WeDownload.1 nach den Rechten des Superadministrators und greift gemäß seiner Konfigurationsdatei auf drei Verwaltungsserver zu, um das Hauptfenster der Anwendung herunterzuladen. Wenn einer der Remote-Server nicht antwortet, bricht die Installation ab. Bei einer erfolgreichen Rückmeldung sendet Adware.Mac.WeDownload.1 eine POST-Anfrage, die die Konfigurationsdaten des Downloaders im JSON-Format (JavaScript Object Notation) enthält, und empfängt eine HTML-Datei mit vordefinierten Inhalten. Alle weiteren GET- und POST-Anfragen kennzeichnet er mit einer Zeitangabe und einer digitalen Signatur, die nach einem speziellen Algorithmus erstellt wird.
Nachdem Adware.Mac.WeDownload.1 seine Anfrage gesendet hat, empfängt er vom Verwaltungsserver eine Liste von Apps, die dem Benutzer dann zum Herunterladen angeboten werden. Unter diesen befinden sich sowohl unerwünschte als auch böswillige Programme wie Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, Vertreter von Trojan.Conduit usw.
Die Anzahl und der Umfang der zu installierenden Programme hängen von der IP-Adresse des Opfers ab. Wenn die Liste von Anwendungen leer ist, werden dem Benutzer keine weiteren Apps angeboten.
Die Sicherheitsanalysten von Doctor Web möchten alle Apple-Benutzer darauf aufmerksam machen, Software aus verdächtigen Quellen auf keinen Fall herunterzuladen.
Die Signatur für Adware.Mac.WeDownload.1 wurde in die Virendatenbank von Doctor Web aufgenommen. Der Schädling stellt deshalb für Anwender von Dr.Web Antivirus für Mac OS X keine Gefahr dar.
Das russische Unternehmen Doctor Web Ltd. ist einer der führenden Hersteller von Anti-Virus- und Anti-Spam-Lösungen mit Hauptsitz in Moskau. Das Doctor Web Team entwickelt seit 1992 Anti-Malware-Lösungen und beschäftigt weltweit 400 Mitarbeiter, davon 200 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Frankfurt vertrieben. Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Unternehmen wie die Russische Zentralbank, JSC Russian Railways, Gazprom oder Arcelor Mittal sowie Bildungseinrichtungen und öffentliche Auftraggeber wie das Russische Verteidigungsministerium.
Waggener Edstrom Communications
Теl.: +0049 89 6281 75 0
Fax: +0049 89 6281 75 11
E-Mail: pr(at)drweb-av.de