Der Sicherheitsforscher Patrick Wardle hat eine Malware, die momentan im Internet kursiert, etwas genauer analysiert. Der Datenschädling, der Mac Geräte angreift, wurde von ihm auf den Namen MaMi getauft. Der konkrete Infektionsvektor ist aktuell noch unklar.

Die Malware MaMi, die in Form eines unsignierten Mach-O-64-bit-Binaries vertrieben wird, hat Wardle zufolge sehr problematische Funktionen. Bei einer Installation stellt die Malware, die anscheinend die Eingabe eines Administratorpassworts verlangt, zunächst die DNS-Einträge des Mac um. Danach sendet sie alle DNS-Anfragen an die Server der Malware-Entwickler, um danach weitere Angriffe zu fahren.

Weiterhin kann die Malware Screenshots des Bildschirms erstellen, Maus-Ereignisse auslösen, sich möglicherweise in Form eines Launch-Items dauernd neustarten, Dateien herunter- sowie hochladen und Kommandos ausführen.

Laut Wardle hat MaMi Ähnlichkeiten mit einer ähnlichen Windows-Malware, die DNSUnlocker heißt. Sie nutzt die gleichen DNS-Server und das gleiche Zertifikat. Betroffene sollten zunächst überprüfen, ob die DNS-Server 82.163.143.135 und 82.163.142.137 bei ihnen eingetragen sind. Im WLAN-Betrieb kann dies mit dem Kommando "networksetup -getdnsservers Wi-Fi" getan werden. Im Schlüsselbund sollte nachgeschaut werden, ob ein Zertifikat von "cloudguard.me" eingetragen ist. DNS-Einträge und Zertifikat sollten dann gelöscht werden. Wenn Anti-Viren-Programme diesen Schädling nicht entfernen können, dann wäre eine Neuinstallation von macOS zu empfehlen.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE