SECURITY ALERT

Eigentlich haben wir uns fast schon gewundert, dass es so lange dauert bis etwas passiert….

Palo Alto Networks (deutsche Infoseite: Heise Newsticker) warnt vor einem neuen Erpresser-Trojaner, welcher die Daten von Mac OS Nutzern verschlüsselt.

Die Infektion betrifft primär Benutzer, welche die Open-Source Freeware Transmission, Version 2.90, (hier absichtlich kein Link…) installiert haben.

Die Malware wird OSX.KeRanger.A genannt.

Was ist “Transmission”?

Transmission ist ein BitTorrent-Client und für verschiedene Betriebssysteme verfügbar.

Wie konnte das passieren?

Offensichtlich haben die Angreifer ihren Schadcode im Quellcode der Software versteckt. Dies blieb den Entwicklern leider verborgen, so dass die ausgelieferten Binaries verseucht waren, also neben der eigentlichen Software noch einen kleinen Rucksack mitbrachten.

Gemein an der Sache ist, dass die Software mit einem Apple-Key signiert war, was sie als legitime OS X Software bekannter Herkunft ausweist.

Apple hat inzwischen das Zertifikat zurückgerufen. Trotzdem sollten ALLE jetzt die Version 2.92 installieren.

Ein einfaches Löschen der App wird hier nichts nützen da der Trojaner UNABHÄNGIG VON DER TRANSMISSION APP funktioniert.

Alle, welche Transmission installiert haben sind somit dringend dazu aufgerufen:

  • Auf die Version 2.92 upzugraden.
  • Ihre Daten auf Schäden (verschlüsselte / unbrauchbare Dateien) zu untersuchen.

Die Version 2.91 enthält zwar den Trojaner bereits nicht mehr, deinstalliert diesen aber auch nicht. Dies bedeutet, dass der Trojaner nach wie vor auf dem System aktiv ist.

Wie kann man sich in Zukunft vor solchen Infektionen schützen?

Im Prinzip gar nicht. Das Gemeine an solchen Viren ist, dass sie erst dann erkannt werden, wenn eine gewisse Anzahl Benutzer die Viren bereits “eingefangen” haben.

Die Idee von Apple, hier mit signierten Apps zu arbeiten erschwert zwar den Virenherstellern die Arbeit.

Verunmöglicht wird die Verbreitung von Malware hiermit allerdings nicht.

Generell raten wir dazu, für 3rd Party Software eine eigene Maschine (oder VM) zu verwenden. Dass Backups absolut notwendig sind müssen wir an dieser Stelle nicht extra erwähnen…