Mac-Trojaner Flashback.K nutzt weitere Java-Lücke
Alexander Trust, den 3. April 2012
Im Februar erst war eine weitere Version des Mac-Trojaners Flashback aufgetaucht. Nun gibt es mit Flashback.K derzeit eine neue Variante, die aktuell nur zu umgehen ist, indem man Java systemweit abstellt. Mac-Besitzer müssen auf ein Java-Update warten, das die Sicherheitslücke schließt.
Gestern veröffentlichte F-Secure einen neuen Hinweis zu einem Schädling für Mac OS X. Flashback ist kein Unbekannter, weder auf dem Mac, noch unter Windows. Der Trojaner Flashback.K soll sich eine Java-Sicherheitslücke (CVE-2012-0507) nutzbar machen, um Zugriff auf das System zu erhalten. Während des Besuchs einer Webseite kann der Schädling versuchen, sich installieren zu wollen und soll wohl auch nach einer Eingabe des Administrator-Passworts fragen, das die Installation autorisiert. Doch selbst wenn man dies verweigert, versucht der Trojaner sich zu installieren, wenn der Nutzer nicht zufällig die Microsoft-Word-App, MS Office 2008 oder 2011, oder Skype auf dem Rechner installiert hat. Scheinbar sind diese Applikationen in irgendeiner Form inkompatibel zu dem Code des Trojaners, heißt es bei F-Secure weiter.
Warten aufs Update
Die Lücke, über die der Trojaner versucht sich Zugang zu verschaffen, wurde für Windows-Systeme bereits mit einem Update im Februar gepacht. Apple hat bislang aber noch kein Java-Update veröffentlicht, das den Fehler behebt. Als Möglichkeit, die angreifbare Stelle für den Moment zu schließen, bleibt nur, Java systemweit in den entsprechenden Einstellungen auf dem Mac abzuschalten.
F-Secure schreibt, dass man wie schon bei der letzten Version festellen könne, ob das eigene System befallen ist oder nicht, rät aber jedem dazu, Java vorerst zu deaktivieren. Zusätzlich zu der vorher veröffentlichten Anleitung, wie man feststellt, ob der eigene Rechner infiziert ist, würde außerdem eine neue unsichtbare Datei im Home-Ordner des Nutzers angelegt mit dem Namen .jupdate. Im globalen Library-Ordner findet sich zudem eine neue Einstellungsdatei („~/Library/LaunchAgents/com.java.update.plist„). Standardmäßig ist der Mac allerdings, genauso wie Windows, so eingestellt, dass Nutzer diese unsichtbaren, systemnahen Dateien nicht angezeigt bekommen. Dazu muss man zunächst über das Terminal aktiv werden oder eines der vielen frei verfügbaren Tweak-Tools nutzen, das die Anzeige der Dateien ebenfalls ermöglicht. Wie und welche Dateien man wieder löschen muss, um das System sauber zu bekommen, beschreibt F-Secure auf einer anderen Seite.
Es kann zudem möglich sein, dass der Schädling andere Namen für Ordner und Dateien verwendet als die bekannten. Denn der Schadcode wird von externen Rechnern über die Webseiten geladen. Zumindest der Quellcode des Trojaners ist so aufgebaut, dass die Option für die „Hacker“ bestünde.