Mac Defender: Gefahr gebannt, vermuteter Entwickler verhaftet
Stefan Keller, den 5. August 2011Als Mac Defender wurde sie berühmt: Die erste Malware seit langem auf einem Mac. Sogar so berühmt, dass Apple ihr ein Update gegönnt hat und die Definitionen der Malware-Erkennung regelmäßig aktualisiert. Jedenfalls taten sie das bis zum 18. Juni, denn seither gibt es keine neue Ausgabe mehr vom Mac Defender. Der vermutete Programmierer wurde am 23. Juni verhaftet – Zufall?
Mac Defender ist ein Programm, das es seit Mai mittels Suchmaschinen-Spam auf die Rechner der Anwender fand. Anstatt sinnvolle Seiten zu finden, wurden zwielichtige Seiten für bestimmte Suchbegriffe an die Spitze der Suchmaschinenausgaben gepusht. Diese haben dem Anwender erzählt, dass sein Mac voll mit Viren wäre und ein gewisser Mac Defender sie entfernen könne. Nach dem Download der Placebo-Software „scannte“ Mac Defender den Mac und stellte dann abermals eine Verseuchung der Maschine fest. Entfernen könne nur die Vollversion die Viren, praktischerweise ist die Eingabe der Kreditkarte gleich im Programm vorgesehen.
Das war die Ausgangslage – und nach einem mehr oder weniger unglücklichen, internen Dokument hat Apple Wort gehalten und ein Update für Mac OS X 10.6 Snow Leopard veröffentlicht. Die Dateiquarantäne, die für frisch heruntergeladene Dateien nachfragt, ob man sie öffnen möchte, prüft seit Snow Leopard auf bekannte Malware. Dafür sind Definitionsdateien notwendig, die vorher aufgrund der sehr übersichtlichen Anzahl von Malware-Bedrohungen auf dem Mac mit Systemupdates ausgeliefert wurden. Dies hatte Apple geändert, sodass das System automatisch nach neuen Definitionen sucht und diese herunterlädt.
Und das tat Mac OS X auch fleißig – bis zum 18. Juni. Danach wurden die Definitionen nicht mehr aktualisiert, wie man bei TUAW feststellte.
Brian Krebs hat dafür sogar eine Erklärung: Am 23. Juni wurde Pavel Vrublevsky, Gründer des russischen Online-Zahlungsdienstes ChronoPay und eine bekannte Größe im Fake-Antiviren-Markt, verhaftet. Er schrieb bereits im Mai, dass es einen Zusammenhang zwischen ChronoPay und MacDefender gibt. Dies allerdings wurde seitens ChronoPay später dementiert. Wie bei den Durchsuchungen der ChronoPay-Büroräume festgestellt wurde, waren die Mitarbeiter durchaus involviert: Sie hatten mit technischem und Kunden-Support für eine Vielzahl von Fake-AV-Programmen zu tun, darunter Mac Defender.
[via Macrumors]