Image credit:

Es gibt einen neuen Trojaner für Macs

Infektion ist allerdings etwas umständlich und die Entfernung recht leicht
0 Shares
Share
Tweet
Share
Save


Diverse Stellen warnen derzeit vor einem Trojaner für Macs. Das ist halbwegs neu, nicht dass es die erste Infektion wäre, die man sich auf einem Mac holen kann, aber mit ihrer Verbreitung über E-Mails und der Möglichkeit sie zu installieren, weil sie ein gefälschtes Zertifikat nutzt, umgeht Dok - so der Spitznam - auch noch die übliche Installationsbeschränkung, die Apple solchen Dingen eigentlich als Schutz vorausgesetzt hat.

Doch der Infektionsweg ist relativ kompliziert, d.h. recht unwahrscheinlich. Zunächst muss man ein ".zip" aus einer E-Mail herunterladen, dann muss man es clicken. Es tut so als wäre es nicht zu öffnen, schickt aber ein weiteres Pop-Up nach, das einen bittet Software upzudaten und hier muss man dann sein Rechner-Passwort eingeben. Alles eigentlich Dinge, die niemand so leichtfertig tut.

Ist man ein Mal infiziert lässt sich der Trojaner recht leicht entfernen. In den Proxy-Einstellungen (unter Netzwerk) fügt er "http://127.0.0.1.5555" ein. Zwei Files sorgen dafür dass er nach einem Neustart auch mitstartet, die muss man löschen.

/Users/%User%/Library/LaunchAgents/com.apple.Safari.proxy.plist
/Users/%User%/Library/LaunchAgents/com.apple.Safari.pac.plist


Und als letztes sollte man das falsche Zertifikat noch im Schlüsselbund entfernen, das auf "COMODO RSA Secure Server CA 2" ausgestellt zu sein scheint.

Alles clean? Dann weiter.

From around the web

ear iconeye icontext filevr