Vertreibung aus dem Paradies Trojaner knüpft Botnet aus Macs

Vorbei die Zeiten, in denen man sich am Mac sicher fühlen konnte: Sicherheitsexperten behaupten, das erste Netz gekaperter Mac-Computer entdeckt zu haben. Dass überhaupt so viele Rechner übernommen werden konnten, macht Beobachter stutzig - die Gefahr ist seit Monaten bekannt.

Jetzt könnte auch für Mac-Anwender die Zeit des unbekümmerten Web-Surfens vorbei sein. Seit Programmierer versuchen, per Trojaner, Virus und Wurm schädliche Software in Computer einzuschleusen, fremde Rechner zu übernehmen oder sie zu beschädigen, hatte sie kaum etwas zu fürchten. Während Windows-Rechner von Hunderttausenden Varianten verschiedener Schadprogramme bedroht wurden, waren sie fein raus: Macs standen nicht auf dem Speisezettel der Schädlinge.

Doch diese Zeit der Ruhe scheint vorbei, sagen die Symantec-Sicherheitsexperten Mario Barcena und Alfredo Pesoli. In der Fachzeitschrift " Virus Bulletin " führen sie aus, dass eine Trojanersoftware, die sich seit Januar auf Macs verbreitet, nun offensichtlich ein sogenanntes Botnet aufbaut, einen Verbund gekaperter, ferngesteuerter Rechner.

Der Hintersinn der kriminellen Betreiber solchen Schattennetze ist es für gewöhnlich, die Zombie-Rechner zu missbrauchen, um beispielsweise Spam-Mails zu verschicken oder Distributed Denial of Service-Attacken (DDOS) zu initiieren, Angriffe auf Web-Seiten oder Server, die durch eine Vielzahl gleichzeitiger Anfragen via Internet zu Boden gezwungen werden soll.

Schad- und Spähsoftware

Neu ist diese Vorgehensweise nicht, Botnets gibt es viele. Neu ist aber, dass dieses Mal ausschließlich Macs zu einem solchen Verbund von Zombie-Rechnern zusammengeschaltet werden, sagen Barcena und Pesoli.

Der Trojaner steckt in einer Raubkopie

Wie sich eine solche Rechner-Übernahme in der Praxis äußern kann, beschreibt der australische Programmierer Pete Yandell in seinem Blog . "Heute morgen habe ich festgestellt, dass eine Reihe von Prozessen die gesamte Rechenleistung meines Laptops verbrauchen", erklärt Yandell. Offenbar handle es sich dabei um ein sich wiederholendes PHP-Skript, das versucht, eine bestimmte Web-Seite durch wiederholte Anfrage zu überlasten.

Als Ursprung des fremden Programms konnte Yandell eine Probierversion von Apples Bürosoftware iWork 09 identifizieren. Die Software habe er über Umwege von Freunden bekommen, schreibt Yandell und schlussfolgert, dass er sich den Trojaner wohl nicht eingefangen hätte, hätte er das Programmpaket direkt von Apples Web-Seite besorgt.

Denn dass in einer im Web kursierenden Version dieser Probiersoftware ein Trojaner verborgen ist, ist bereits seit Januar bekannt. Die Software macht seither die Runde durch Web-Foren und Download-Sites. Das Lockmittel für die Installation: Obwohl eigentlich nur zum Ausprobieren gedacht, wurde die Software so modifiziert, dass sie ohne Seriennummer, also ohne zu bezahlen, läuft. Dass sie außerdem so modifiziert wurde, dass sie den Trojaner OSX.Iservice auf dem Rechner plaziert, hat sich offenbar noch nicht herumgesprochen. Mittlerweile sei eine ähnliche aufgebaute Lockversion der Bildbearbeitungs-Software Adobe Photoshop CS4 im Umlauf, sagen die Spezialisten.

Nur ein bescheidener Anfang

Dieser Trojaner, so die Symantec-Forscher, sei "ein interessantes Stück Schadsoftware." Einerseits, weil er sich einige für Macs typische Techniken zu eigen machen, andererseits, weil er eben der erste offenbar erfolgreiche Trojaner ist, der sich tatsächlich über Macs verbreitet. Über insgesamt 31 unterschiedliche Kommandos kann der Schädling von außen gesteuert, auf neue Ziele ausgerichtet oder zur Verbreitung seiner selbst instruiert werden.

Im Vergleich zu ähnlichen Windows-Programmen nimmt sich die Verbreitung von OSX.IService derzeit aber noch bescheiden aus. Die Zahl der betroffenen Apple-Rechner beziffern die Forscher mit "einige Tausend". Am Stammtisch der Botnet-Betreiber, wo nur Größe wirklich wichtig ist, dürften sie damit bestenfalls einen Stehplatz bekommen. Denn Windows-Botnets sind einfach sehr viel größer. Eines der größten dürfte der derzeit sehr aktive Conficker-Wurm befehligen: Rund zwölf Millionen Rechner sollen dem umtriebigen Schadprogramm mittlerweile Untertan sein.

Der Fehler sitzt an der Tastatur

Erstaunlich sei aber eigentlich, dass sich solche Schädlinge überhaupt ausbreiten können, argwöhnt der auf Sicherheitsthemen spezialisierte Autor Larry Seltzer in der " eWeek ". Schließlich würden Betriebssysteme wie Linux, Windows Vista und auch Mac OS X normalerweise in einem Modus laufen, in dem Programme nur über eingeschränkte Rechte verfügen.

Schädlinge wie OSX.IService könnten sich daher nur effektiv einnisten, wenn der Anwender selbst ihnen diese Rechte einmal zuweise - genau so wie es der Mac-Trojaner tut, indem er sich in der Installationsdatei einer raubkopierten Software versteckt, die nur zum Laufen zu bringen ist, wenn man sie mit vollen Zugriffsrechten über den Rechner ausstattet. Am Mac beispielsweise muss man dazu einmal den Namen und das Passwort eines Benutzerkontos mit besonderen Admin-Rechten eingeben. Die Nutzer tun das bereitwillig, weil sie glauben, eine Raubkopie zu installieren.

Die Schwachstelle ist und bleibt eben der Benutzer.

Mehr lesen über Verwandte Artikel
Die Wiedergabe wurde unterbrochen.