Trojaner

Neuer Mac Trojaner "Devil Robber"

Waren Computerviren einst vorrangig ein Phänomen des Windows-Universums, so sind inzwischen auch Mac-Nutzer nicht mehr vor Attacken aus dem Web sicher. Zuletzt veröffentlichte der finnische Hersteller F-Secure, der neben anderen Sicherheitsprodukten auch eine Antivirensoftware für Mac bereitstellt, Informationen über eine heimtückische Mac-Malware namens DevilRobber.

DevilRobber verbreitet sich über manipulierte Downloads bekannter Design- und Grafiksoftware, die in Filesharing-Communities wie Pirate Bay angeboten werden.

Das Virus existiert in mehreren Versionen, die teilweise eine unterschiedliche Zielsetzung aufweisen. Hauptaufgabe der Malware ist offenbar das Generieren von Bitcoins. Hierzu nutzt DevilRobber zusätzlich zur CPU die Rechenleistung des Grafikprozessors, da dieser bestens für die notwendigen mathematischen Operationen geeignet ist. Dies verursacht einen erheblichen Leistungsverlust des betroffenen Rechners.

Außerdem durchforstet DevilRobber das System nach verwertbaren Informationen wie etwa der Befehls-History oder dem Bitcoin-Wallet und übermittelt diese Daten in regelmäßigen Abständen an einen FTP-Server. Einige Versionen des Virus fertigen zudem fortlaufen Screenshots an. Der Trojaner verfügt darüber hinaus über eine Backdoor-Funktion, mit der sich der Angreifer Zugriff auf die Systemsteuerung verschaffen kann.

Eine weitere Variante des Virus sucht auf dem infizierten System nach Dateien, die die Zeichenkette "pthc" im Namen enthalten. Experten vermuten hierbei einen Zusammenhang mit kinderpornografischen Inhalten.

Noch kennen nicht alle Mac Antivirenprogramme das Virus, das erst seit Oktober aktiv ist. Um die Malware manuell vom System zu entfernen, muss je nach Version der Ordner ~/Library/mdsa1331 sowie die Datei ~/Library/LaunchAgents/com.apple.legion.plist beziehungsweise der Ordner ~/Library/Pixel_mator und die Datei ~/Library/LaunchAgents/com.apple.pixel.plist gelöscht werden. Die infizierte Grafiksoftware sollte auf keinen Fall weiterverwendet werden, denn dadurch installiert sich das Virus erneut.

Die aktuelle Bedrohung durch DevilRobber zeigt einmal mehr, dass auch auf dem Mac Antivirenprogramme mittlerweile eine unverzichtbare Sicherheitsmaßnahme darstellen. Neben F-Secure bieten auch andere namhafte Hersteller wie Avast, Kaspersky oder Clam Antivirensoftware für Mac an.