Werbung
Die steigende Popularität des Apple-Betriebssystems Mac OS X birgt für seine Nutzer eine gravierende Schattenseite: Das immer größer werdende Interesse von Entwicklern für Schadsoftware. Nun ist eine neue und zugleich kuriose Mac-Malware aufgetaucht, die in der vergangenen Woche durch Webroot aufgedeckt wurde. Der neue Trojaner „OSX.Janicab.A“ setzt auf die Gutgläubigkeit des Nutzers, bedient sich dabei aber auch eines relativ simplen Tricks. Die Software tarnt sich als einfaches Text-Dokument im DOC- oder PDF-Format und lässt sich damit ganz einfach über E-Mail verbreiten. Wer den Anhang öffnet, startet zunächst allerdings kein Textdokument, sondern eine ausführbare Datei, die wie viele andere Programme bei der Installation unter Mac OS X nach dem Systempasswort fragen. Wird dieses eingegeben, ist der Apple-Rechner infiziert.
Eigentlich verhindert Mac OS X das Ändern der Dateierweiterung einer ausführbaren .app-Datei in PDF oder DOC. Um dem Nutzer später dennoch den Anschein zu geben, ein Textdokument und keine ausführbare Datei zu öffnen, bedienten sich die Malware-Entwickler eines simplen Tricks: Der „Righ-to-Left-Override“-Methode. Dabei setzen sie auf den Zeichencode U+202E, der bei Sprachen wie Hebräisch zum Einsatz kommt und das Schreiben von rechts nach links ermöglicht. Mit diesem Zeichencode kann der Malware-Autor im Charakter-Viewer von OS X die Datei-Endung seines Trojaners einfach ändern. Um später die richtige Erweiterung „PDF“ zu erhalten tippt er einfach „FDP“. Auch der Dokument-Name muss in der falschen Reihenfolge angepasst werden – schon ist das Dokument verschleiert.
Die Tarnung ist damit zwar gelungen, doch öffnet der Nutzer anschließend die Datei, ist auch die angezeigte Warnmeldung von Max OS X von rechts nach links geschrieben und somit eigentlich nicht wirklich verständlich. Spätestens hier sollten beim Anwender die Alarmglocken klingeln. Das Sicherheitstool Gatekeeper unter Mac OS X umgeht die Malware im Übrigen ebenfalls, da das Schadprogramm mit einer echten Entwickler-ID zertifiziert wurde. Sperrt Apple diese ID, greift allerdings auch dieser Schutz-Mechanismus wieder. Eine Bedrohung für eine große Nutzerschaft stellt der neue Trojaner „OSX.Janicab.A“ damit also nicht dar.