Ny trojan rettet mot Mac-brukere

Sikkerhetsselskapet Intego melder om noe så sjelden som en trojansk hest som er rettet mot Mac OS X. Trojanen er blitt funnet på flere pornografiske nettsteder og framstår som en codec som er nødvendig for å se gratis pornofilmer på Mac. I et forsøk på å lokke brukere til disse nettstedene, er det blitt sendt en rekke spammeldinger til Mac-relaterte fora.

Når brukeren klikker på et bilde av en ønsket film, blir brukeren ledet til en side som blant annet får nettleseren til automatisk å laste ned en image-fil av typen .dmg. Dersom brukeren har krysset av for at "trygge" filer automatisk skal åpnes etter nedlasting i nettleserens innstillinger, vil image-filen monteres. Installasjonspakken filen innholder, vil så startes.

Installasjonen krever noe interaksjon med brukeren og administratortilgang, men er brukeren godtroende nok, kan trojanen i teorien få lov til å gjøre mye skade.

Ifølge Intego gjør ikke trojanen så mye mer med selve operativsystemet enn å endre DNS-instillingene ved hjelp av scutil-kommandoen, slik at en ondsinnet DNS-server tas i bryk. Denne kan lede brukeren til blant annet phishing-nettsteder, for eksempel nettsteder som utgir seg for å være brukerens nettbank, men som for eksempel kun samler inn brukerens innloggingsdetaljer og kontonummer.

Intego skriver at det i Mac OS S 10.4 ikke er mulig å se den endrete DNS-serveren i operativsystemets grafiske brukergrensesnitt. I nye Mac OS X 10.5 er dette derimot synlig i de avanserte nettverksinnstillingene. Begge disse versjonene av operativsystemet kan infiseres av trojanen. Det samme gjelder trolig også eldre utgaver, selv om dette ikke er blitt bekreftet ennå.

En cron-jobb settes dessuten opp av trojanen for å sikre at endringer i nettverksinnstillingene ikke fjerner den ondsinnede DNS-serveren som aktiv server.

Ifølge Intego skal de finnes flere versjon av trojanen, muligens tilpasset hvilket land brukeren befinner seg i.

Til toppen