OSX/Jahlav-C: Neuer Mac-Trojaner gibt sich als fehlender Videocodec aus

Eine neue Variante des Mac-Trojaners OSX.RSPlug ist am Wochenende entdeckt worden. Mit der Bezeichnung OSX/Jahlav-C lässt der Trojaner ein Perl-Script im Hintergrund laufen, das regelmäßig einen externen Server kontaktiert. Diese könnte auch weiteren Schadcode zur Verfügung stellen.

Virus, Bild: CC0

Verbreitung über Porno-Websites

Verbreitet wird OSX/Jahlav-C in Form eines angeblich fehlenden ActiveX-Videocodecs, der auf Porno-Websites zum Download angeboten wird.

Wer die Befürchtung hat, sich diesen Trojaner eingefangen zu haben, dem empfiehlt sich ein Blick in den Ordner „/Library/Internet Plugins“, wo im Falle der Infizierung ein Shell-Script mit der Bezeichnung „AdobeFlash“ hinterlegt ist.

Antivirus-Software-Hersteller Sophos stuft den Trojaner selbst bisher als recht unbedeutend ein, aber eines zeigt das Auftauchen von OSX/Jahlav-C eindrucksvoll: Alte Tricks ziehen auch nach Jahren immer noch, und es geht schneller als man denkt, sich einen Trojaner oder Virus einzufangen – selbst dann, wenn man keine Raubkopien herunterlädt, wie im Fall des iWork-Trojaners.

Gesunder Menschenverstand hilft

Mit der verstärkten Verbreitung von Macs im Alltag wird es sicher nicht lange dauern, bis auch mal ein ernstzunehmender Mac-Virus die Runde machen wird. Im Falle von OSX/Jahlav-C hilft allerdings auch ein wenig gesunder Menschenverstand: ActiveX ist eine Systemkomponente, die nur auf Windows-Rechnern Verwendung findet und daher aufs Macs gar nicht gebraucht wird. Einzige Ausnahme: Alte Versionen des Internet Explorer für Mac nutzen ActiveX-Steuerelemente.

Seit 2007 kursiert auf der Trojaner OSX.RSPlugE, ein Vorgänger des OSX/Jahlav-C und auch bekannt als DNS-Changer. Dieser verändert die DNS-Einträge eines Macs und leitet den Nutzer des Rechners nicht auf die Seite, die er eigentlich ansteuern wollte, sondern auf eine Phishing-Seite. Prominentes Beispiel: PayPal.