Go to Top

Mac Security: neuer Banking-Trojaner im Umlauf

Mac Security: Sollten man in seinem Email Postfach eine Nachricht z.B. der Polizei mit einer angehängten .zip Datei finden, so könnte es sein, dass es sich um den neuesten Mac Trojaner handelt. Hier ein paar Tipps zur Entfernung.

Die angehängten Dateien könnten folgende Namen haben:

Zahlungsinformationen 01.06.2017.zip
Zahlungsinformationen digitec.zip
zip
Dokument 09.06.2017.zip
Dokument 09.06.2017.docx
docx
docx
06.2017.docx

Die der E-Mail angehängte .zip Datei enthält ein Programm, welches den Namen "AppStore.app" trägt. Der Trojaner versucht nun, sein Programm gegen das originale von Apple auszutauschen.
Der Trojaner kann das aber erst tun, wenn ein Benutzer sich mit Administrator Rechten auf Nachfrage des Trojaners authentifiziert.
Sollte man die .zip Datei schon geöffnet haben, so hat sich das Programm schon selbstständig installiert, allerdings noch nicht komplett. Mühsam wird es nun trotzdem, da es sich bereits im Verzeichnis /Users/Shared/ befindet. Nach jeder Benutzer Anmeldung wird es automatisch im Vollbild-Modus gestartet. Auch lässt es sich nicht ohne weiteres beeenden.
Trotzdem gibt es einen Weg den Trojander loszuwerden. Hat man auf dem Computer einen weiteren Benutzer, so meldet man sich jetzt mit diesem an. Über die Spotlight-Suche das Programm "Aktivitätsanzeige" starten. Dort alle Prozesse einblenden, und den Prozess "AppStore.app" suchen und beeenden.
Damit wird der Trojaner beendet. Nun kann mann das Programm aus dem Verzeichniss /Users/Shared/ = /Benutzer/Alle Benutzer/ oder /Benutzer/Geteilt/ entfernen. Im Anschluss sollte man aber unbedingt noch in betroffenen Benutzer Ordner unter /Benutzer/Library/LaunchAgents die Datei "com.apple.AppStore.plist", falls vorhanden, löschen.
Hat man sich allerdings schon auf Nachfrage des Trojaners als Administrator authentifiziert, so bleibt einem keine andere Wahl als den Computer aus dem letzten "sicheren" Backup wiederherzustellen.
Generell sollte man E-mails mit unbekanntem Absender genau überprüfen und deren Anhänge nicht öffnen. Genauso sollte man nicht ohne wichtigen Grund, sich am Mac als Administartor authentifizieren. 😉

Mehr Infos gibts es hier http://blog.trendmicro.de/osx-schadsoftware-mit-verbindung-zu-operation-emmental-kapert-netzwerkverkehr/

Am rot umrandeten Icon lässt sich schon sehen, dass nicht die AppStore.app nach einer Administrator Authentifizierung fragt, sondern ein "Word" Programm!

, , , , , ,

Leave a Reply