Trojaneren omdirigerer Google-adressen til en server i Nederland. Forskjellen er åpenbar: Den ekte Google.com.tw kommuniserer på kinesisk, mens denne falske siden holder seg til engelsk.

Mac-trojaner viser falske Google-sider

Gir seg ut for å være en ny FlashPlayer.

IT-sikkerhetsselskapet F-Secure har oppdaget en trojaner som gir seg ut for å være en installasjonsfil for FlashPlayer på Mac, altså en falsk FlashPlayer.pkg.

I F-Secures advarsel er trojaneren døpt BASH/QHost.WB.

Den presenterer seg som en ekte installasjonsfil for FlashPlayer, og alt virker tilforlatelig når den har gjort oppgaven sin. Men F-Secure har oppdaget at den omdirigerer henvendelser til flere Google-steder, blant dem Google.com.tw og Google.com.tl, til en nederlandsk server med IP-adresse 91.224.160.26.

Den nederlandske serveren responderer på Google-URL-ene med falske Google-sider. Den viser søketreff som tilsynelatende er ekte. Klikker man på disse lenkene kommer man bare til en serie poppoppsider, alle fra enda en server. Foreløpig er disse sidene blanke.

Installasjonsfilen ser helt tilforlatelig ut.
Installasjonsfilen ser helt tilforlatelig ut.

Man kan vente seg at disse sidene vil aktiveres med en eller annen form for ondsinnet kode.

Løsningen: Unngå å bruke andre installasjonsfiler for Flash på Mac enn dem som leveres gjennom de offisielle sidene til Adobe.

Og for all del: Tro ikke at noe er sikkert bare fordi det ikke er Windows.

Til toppen