Der russische Antivirus-Software-Entwickler Doctor Web hat einen Schädling entdeckt, der sich seit Ende September auf Macs einnistet und dort sein Unwesen treibt. Die Mac.BackDoor.iWorm – kur: iWorm – getaufte Malware habe, so Doctor Web, bereits 18.000 Apple-Computer infiziert.
iWorm wird über BitTorrent verbreitet
Die schlechten Nachrichten zuerst: Der iWorm wird laut Doctor Web über BitTorrent verbreitet und kommt wohl einher mit den illegalen Versionen von beliebten Programmen wie Photoshop oder Office. Einmal auf dem Computer setzt er sich automatisch in die Liste der Programme, die automatisch nach dem Start ausgeführt werden. Von dort aus gleicht er die ersten acht Bytes des MD5-Hashes des Datums mit reddit ab.
Dort hatten die Kriminellen mit dem Nutzernamen vtnhiaovyd bislang in einem Subreddit namens „minecraftserverlists“ in den Kommentaren die jeweils aktuellen IP-Adressen eines Command-and-Control-Servers gepostet. Anschließend öffnet der iWorm den Hackern Tür und Tor zum Mac. Kommuniziert wird über Lua und mit AES 256-Verschlüsselung. Folgende Befehle kann der Mac.BackDoor.iWorm dann ausführen und an die Kriminellen übermitteln:
– Get the OS type.
– Get the bot version.
– Get the bot UID.
– Get a value from the configuration file.
– Set a parameter value in the configuration file.
– Remove all parameters from the configuration file.
– Get bot uptime.
– Send a GET query.
– Download a file.
– Open a socket for an inbound connection and then execute the commands received.
– Execute a system instruction.
– Sleep.
– Ban a node by IP.
– Clear the list of banned nodes.
– Get the node list.
– Get a node IP.
– Get node type.
– Get node port.
– Execute a nested Lua-script.
Nachdem reddit das Subreddit geschlossen hat, ist unklar, auf welchem Wege die Kriminellen nun vorgehen.
Einfache Ermittlung, einfaches Entfernen
Doch nun die guten Nachrichten: Zunächst einmal ist es relativ einfach, zu ermitteln, ob man selbst betroffen ist. Dazu geht man im Menü auf „Gehe zu“, anschließend auf „Gehe zu Ordner“ und gibt in der sich jetzt öffnenden Eingabemaske „/Library/Application Support/JavaW“ ein. Findet der Mac den Ordner nicht, so ist er sauber.
Dass Anbieter wie Doctor Web mit solchen Entdeckungen natürlich auch Geld verdienen wollen und die Installation der hauseigenen Software empfehlen – logisch. Doch auch Apple hat bereits nachgebessert und die entsprechenden Signaturen für drei Versionen vom Mac.BackDoor.iWorm in seiner Anti-Viren-Software Xprotect aufgenommen. Unklar ist laut „Mac & I“ aber, wie viele Versionen es gibt. Einen umfassenden Schutz kann das also noch nicht gewährleisten. Ein normales Virenprogramm sollte aber mit dem iWorm keine Probleme haben.
USA, Kanada und UK am meisten betroffen
In Deutschland scheint die Malware zudem ohnehin nicht nennenswert aufzutreten. Betroffen seien laut einer Doctor-Web-Grafik (siehe oben) insbesondere die USA, Kanada und Großbritannien mit den meisten iWorm-Vorkommnissen. Es folgen Spanien, Brasilien und Frankreich vor Mexiko und Australien. Insgesamt muss man aber auch sagen: 18.000 infizierte Rechner weltweit ist kein besonders besorgniserregendes Vorkommen und durch das vergleichsweise simple Aufspüren des iWorm und die ebenso simple Entfernung dürfte sich der Schaden in Grenzen halten (immer vorausgesetzt natürlich, genügend Menschen erkundigen sich danach und kümmern sich drum).
