Verbreitungszahlen f\u00fcr Mac-Schadsoftware sind rar, f\u00fcr die Mac-Malware Flashback hat die russische Antivirus-Firma Dr. Web jedoch Zahlen<\/a>: Das Botnet soll auf 600000 Macs installiert sein, darunter 274 in Cupertino.<\/p>\n Als Botnet empf\u00e4ngt Flashback Befehle von au\u00dfen und f\u00fchrt sie dann aus. Bisher wurde es laut Dr. Web nicht zum Diebstahl von Passw\u00f6rtern verwendet. Flashback basiert auf einer Sicherheitsl\u00fccke in Java, die vor kurzem von Apple geschlossen wurde – allerdings nicht f\u00fcr viele \u00e4ltere Systeme, die somit weiterhin gef\u00e4hrdet sind. Die Verbreitung erfolgt \u00fcber JavaScript-Code, der in Webseiten eingebaut wird und ein Java-Applet nachl\u00e4dt, welches dann verschiedene Sicherheitsl\u00fccken in der Java VM ausnutzt.<\/p>\n Flashback sucht auf der Festplatte nach installierter Anti-Viren-Software und holt sich dann beim Kontroll-Server weitere Anweisungen. Die meisten infizierten Macs stehen in den USA. Im Februar soll erstmals Malware aufgetaucht sein, welche die Sicherheitsl\u00fccken in Java ausnutzte.<\/p>\n Das Java-Update f\u00fcr OS X stellt Apple f\u00fcr Snow Leopard<\/a> und Lion<\/a> zur Verf\u00fcgung.<\/p><\/blockquote>\n Um eventuell zu kontrollieren ob der eigene Mac betroffen ist, gibt es eine Routine, welche man durchgehen kann:<\/p>\n Manual Removal<\/strong><\/p>\n Caution:<\/strong> Manual disinfection is a risky process; it is recommended only for advanced users. Otherwise, please seek professional technical assistance. F-Secure customers may also contact our Support<\/a>. defaults read \/Applications\/Safari.app\/Contents\/Info LSEnvironment<\/li>\n „The domain\/default pair of (\/Applications\/Safari.app\/Contents\/Info, LSEnvironment) does not exist“<\/li>\n grep -a -o ‚__ldpath__[ -~]*‘ %path_obtained_in_step2%<\/strong><\/li>\n sudo defaults delete \/Applications\/Safari.app\/Contents\/Info LSEnvironment<\/p>\n sudo chmod 644 \/Applications\/Safari.app\/Contents\/Info.plist<\/li>\n defaults read ~\/.MacOSX\/environment DYLD_INSERT_LIBRARIES<\/li>\n „The domain\/default pair of (\/Users\/joe\/.MacOSX\/environment, DYLD_INSERT_LIBRARIES) does not exist“<\/li>\n grep -a -o ‚__ldpath__[ -~]*‘ %path_obtained_in_step9%<\/strong><\/li>\n defaults delete ~\/.MacOSX\/environment DYLD_INSERT_LIBRARIES<\/p>\n launchctl unsetenv DYLD_INSERT_LIBRARIES<\/li>\n Note:<\/strong><\/p>\n Some Flashback variants include additional components, which require additional steps to remove. Please refer to our Trojan-Downloader:OSX\/Flashback.K<\/a> description for additional information and removal instructions.<\/p>\nDisinfection<\/h2>\n
\nManual Removal Instructions<\/strong><\/p>\n\n
Additional Details<\/h2>\n
![\"Trojan-Downloader:OSX\/Flashback.I](\"http:\/\/www.f-secure.com\/virus-info\/v-pics\/trojan-downloader_osx_flashback_i_passwordprompt.jpg\")
<\/div>\n