Frankfurt, 3. März 2016
Der Angriff von Mac.Trojan.VSearch auf einen Apple-Rechner beginnt mit Mac.Trojan.VSearch.2, der sich als Tool oder Applikation wie Nice Player ausgibt. Der Benutzer kann diese selbst von Webseiten, die kostenlos Software für OS X verbreiten, herunterladen.
Nach dem Starten des Installationsassistenten wird ein Grußwort angezeigt. Nachdem man auf „Continue" geklickt hat, soll Mac.Trojan.VSearch.2 dem Benutzer eine Liste mit Komponenten zur Installation zeigen. Auf dieser Liste stehen in der Regel verschiedene Module. In der Praxis werden jedoch alle vordefinierten Komponenten installiert. Unter den Komponenten, die Mac.Trojan.VSearch.2 auf dem infizierten Rechner installiert, findet man Mac.Trojan.VSearch.4 sowie andere gefährliche Programme wie MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) und Mac.Trojan.Conduit.
Nach der Installation greift Mac.Trojan.VSearch.4 auf den Server der Cyber-Kriminellen zu und lädt ein Skript herunter, welches die Default-Suchmaschine gegen Trovi ersetzt. Mit diesem Skript kann der Schädling ein Such-Plugin für Safari, Chrome und Firefox, installieren. Das Plug-in wird von Dr.Web als Program.Mac.Unwanted.BrowserEnhancer.1 klassifiziert. Dieser Schädling lädt einen Weiteren (Mac.Trojan.VSearch.7) herunter und installiert ihn.
Nachdem der Schädling Mac.Trojan.VSearch.7 auf dem infizierten Rechner angekommen ist, legt er einen neuen Benutzer an und startet einen Proxy-Server, durch den er sich mittels JavaScript in Fenster des Browsers einbettet. Daneben sammelt er Suchanfragen in beliebten Suchmaschinen.
Die Sicherheitsspezialisten von Doctor Web konnten feststellen, dass insgesamt 1.735.730 Anfragen zum Herunterladen von Malware von 478.099 IP-Adressen getätigt wurden. Diese Zahlen deuten auf das Ausmaß der verbreiteten Bedrohung hin. Alle Vertreter von Mac.Trojan.VSearch werden durch Dr.Web für OS X erfolgreich entdeckt und stellen keine Gefahr für Dr.Web Anwender dar.
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare