MAC Defender: Intego warnt vor Virenscanner-Malware
kg, den 3. Mai 2011Mac-Nutzer, die beim Surfen im Netz auf die vermeintliche Anti-Virus-Software MAC Defender stoßen, sollten einen weiten Bogen darum machen: Laut Intego handelt es sich dabei um Malware, die lediglich darauf abzielt, den Nutzern vermeintliche Virussschutz-Lizenzen zu verkaufen.
Die konkrete „Vorgehensweise“ von MAC Defender, der bei Intego unter OSX/MacDefender.A gelistet wird, ist perfide. Dank entsprechender Suchmaschinenoptimierung tauchen die bösartigen Websites ganz oben in bestimmten Suchergebnissen auf. Sobald man eine dieser Seiten aufruft, tut diese so als würde ein Malware-Scan durchgeführt, der den Nutzer darauf hinweist, dass er Viren auf seinem Rechner hat. Via JavaScript wird dann ein zip-Archiv heruntergeladen, das sich dann selbst entpackt, sofern man dies im Browser voreingestellt hat („Sichere Dateien sofort öffnen“). Danach startet sich ein Installationsprogramm, das dann nach Abfrage des Admin-Passworts die Malware installiert sowie in die Startobjekte kopiert.
Die Malware selbst ist überraschend gut gestaltet, selbst die Rechtschreibung ist korrekt. Zusätzlich zur Software selbst wird ein Menüleisten-Icon eingefügt. Mangels Dockicon kann man die App nicht einfach schließen. Ab und an zeigt die Malware an, dass Viren gefunden wurden, zudem öffnet es im Browser automatisch alle paar Minuten Porno-Seiten. Erst nach Zahlung einer Lizenzgebühr kann man die vermeintlich vorhandenen Viren vom Rechner entfernen, bezahlt wird mit der Kreditkarte. Sowohl die Tatsache, dass die Software selbst gar nichts tut als gefakte Virenmeldungen anzuzeigen und für die Entfernung dieser eine Gebühr verlangt, als auch die Möglichkeit, dass die eingegebenen Kreditkartendaten in fremde Hände gelangen, sollte den Nutzer vorsichtig machen.
Tipp: Sollte ein nicht angefordertes Installationsfenster aufpoppen, sollte man dieses direkt wegklicken anstatt die Anwendung zu installieren. Zudem empfiehlt es sich, das automatische Öffnen bestimmter Dateitypen in den Browsereinstellungen zu deaktivieren.
[via Intego]