Sie sind hier: Home | News | Sicherheit | Renepo/Opener: Hinterlistiges Skript greift OS X an

Schädling ist kein Virus

Renepo/Opener: Hinterlistiges Skript greift OS X an

Auch wenn Apples Mac OS X als überaus sicher gilt, ist es doch nicht gegen jede Form von Angriff gefeit. Ein vom Design des Betriebssystems her denkbarer Angriffshebel ist die Scripting-Option, die in der Lage ist, selbst auf tief liegende Funktionen im System zuzugreifen und dort gegebenenfalls Chaos und Zerstörung anzurichten.

Inhaltsverzeichnis

  1. 1OS X in der Trojaner-Falle
  2. 2Manipulation in Systemeinstellungen
  3. 3Noch nicht in freier Wildbahn

OS X in der Trojaner-Falle

Werbung

Das Schadprogramm "Renepo" ist genau so ein Script: Hinterlistig, aggressiv und extrem gefährlich: Das Skript ist nämlich in der Lage, Sicherheitssoftware wie Firewalls und Antiviren-Programme zu deaktivieren. Gleichzeitig kann es verwendet werden, um einen Trojaner im System zu installieren.

Nach dem Start beginnt das Skript augenblicklich damit, Routinen zum Auslesen von Passwörtern herunterzuladen und zu installieren. Einmal installiert, versucht das Programm, sich den Zugang zu wichtigen Ordnern zu erschleichen. Obendrein installiert es einen administrativen Account mit dem Namen "Mac-User". Obendrein schafft es das Kunststück, sich im System zu tarnen.

Manipulation in Systemeinstellungen

Dabei ist Renepo alias Opener derart aggressiv, dass er in sämtlichen Sicherheitseinstellungen von OS X herumfuhrwerkt. Die Sicherheit, normalerweise bei OS X groß geschrieben, kann über den Administrator-Account problemlos eingeschränkt oder sogar ausgeschaltet werden.

Den Sprung auf den Rechner und ins Netzwerk schafft der Übeltäter mit einem einfachen Trick: Er muss sich nur als sinnvolles Programm tarnen. So lassen sich in OS X Programme mit beliebigen Icons bestücken, auch in der Installationsroutine. Auf diese Weise kann Renepo sich als nützliches Programm, zum Beispiel via Tauschbörse, auf dem Rechner einschleichen.

Noch nicht in freier Wildbahn

Bisher wurde der Schädling allerdings noch nicht in freier Wildbahn gesichtet. Zudem handelt es sich nicht um einen Wurm, sondern bestenfalls um einen Virus. Allerdings auch nur eingeschränkt, weil er weder Routinen für die selbstständige Übertragung, noch für den selbstständigen Start beinhaltet. Bei Systemen wie OS X allerdings kaum ein Problem für den Angreifer, da die Rechner nur selten neu gestartet werden.

Einmal installiert, kann der Schädling Passwörter, Konfigurationseinstellungen und Dateien von beliebigen User-Accounts stehlen. Trotz des fehlenden Freiwild-Faktors ist die Bedrohungslage laut Sophos als hoch einzuschätzen: Der Antiviren-Hersteller geht von der Existenz eines Rootkits aus, mit dem Script-Kiddies sich ihren ganz persönlichen Schädling zusammenbauen können.

Weitere Informationen

Wie geht's weiter? Zu diesem Thema haben wir eine redaktionelle Übersicht erstellt. Sie finden das Special zu Mac OS X hier.