Neuer Trojaner gefährdet Mac-Systeme

Vor kurzem war es dann tatsächlich so weit: Der Flashback-Trojaner schaffte es unbemerkt mehr als 600.000 Apple-Rechner zu infizieren und zu einem riesigen Botnetz zusammemzuschliessen.

Das Einfallstor für "Flashback" ist eine bekannte, schwerwiegende Lücke in Java, die es erlaubt auf die Festplatte zuzugreifen und dort einen Trojaner zu platzieren. Seitdem bekannt wurde, dass Flashback massenhaft kursiert, hat Apple mit einem Update für Java sowie einem eigenen Entfernungstool reagiert.

Nun ist aber offenbar der nächste Trojaner im Umlauf, der sich die betreffende Lücke zunutze macht, dies berichtet der Antivirensoftwarehersteller Kaspersky. SabPub nutzt dabei ebenfalls die betreffende Java-Lücke als Einfallstor, verbindet sich anschließend mit einem Webserver und wartet dort auf weitere Anweisungen. So kann er etwa Screenshots von einem befallenen Rechner aufnehmen und verschicken.

Das Besondere an SabPub ist, dass er die eigenen Spuren äußerst gut zu verschleiern weiß, weswegen er auch erst jetzt entdeckt wurde - offenbar aber bereits rund eineinhalb Monate im Umlauf ist. Zum Teil dürfte dies aber auch daran liegen, dass SabPub augenscheinlich nicht für die breite Masse sondern für sehr gezielte Attacken gegen einzelne Rechnersysteme zum Einsatz gekommen ist. So gibt es eine Variante, die eine - alte - Lücke in Word als Einfallstor nutzt (der Angriff erfolgt dann mittels eines manipulierten Mail-Anhangs), bevor die Java-Lücke zur eigentlichen Installation des Trojaners zum Einsatz kommt.

Wer seinen Rechner aktuell hält, sollte aktuell also auch bereits vor SabPub geschützt sein. Die erwähnte Word-Lücke wurde zudem bereits 2009 geschlossen, hier haben die AngreiferInnen wohl auf die Verwendung von alten Raubkopien - also ohne aktuelle Updates - gesetzt.