MAC Defender
MAC Defender (auch Mac Defender, Mac Security,<ref name="macsecurity" /> Mac Protector,<ref name="macprotector" /> Mac Guard<ref name="macguard" /> und Mac Shield<ref name="macshield" />) war ein im Mai und Juni 2011 aktives Schadprogramm für das Betriebssystem Mac OS X. Es handelte sich um einen Scareware-Trojaner, der sich nur durch Mithilfe des Nutzers verbreiten kann. Dennoch war MAC Defender das erste weit verbreitete Schadprogramm für Mac OS X.<ref>John E. Dunn: Mac users hit by first rogue antivirus app. In: PCWorld New Zealand. 4. Mai 2011, archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am 8. September 2011; abgerufen am 18. Februar 2012. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref><ref>Adam Dachis: How to Protect Your Computer from Mac Defender and Its Counterparts. In: lifehacker.com. 25. Mai 2011, abgerufen am 18. Februar 2012: „Mac Defender has been making a lot of noise as one of the first major Mac security threats“</ref><ref>Dan Moren: New Mac Trojan horse masquerades as virus scanner. In: Macworld.com. 2. Mai 2011, abgerufen am 18. Februar 2012: „By and large, Mac users have been able to escape the onslaught of malware that their Windows counterparts suffer from“</ref><ref>Rich Trenholm: Mac Defender fake antivirus software is first major attack on Apple computers. In: crave.cnet.co.uk. 19. Mai 2011, archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am 22. Juli 2011; abgerufen am 18. Februar 2012. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref>
Symptome
Das Programm erscheint in bösartigen Links, welche durch Indexspamming über Seiten wie Google Bildersuche verbreitet werden. Wenn ein Benutzer einen solchen bösartigen Link aufruft, erscheint eine Warnmeldung über Virenbefall des Rechners. Anfangs war diese Warnmeldung im Stil von Windows XP gehalten, wurde später aber durch einen für Mac OS X typischen Stil ersetzt.<ref>Elinor Mills: How bad is the Mac malware scare? (FAQ). In: CNET. 19. Mai 2011, abgerufen am 18. Februar 2012.</ref> Die Internetseite gibt vor, die Systemfestplatte gescannt und dabei Viren entdeckt zu haben. Daraufhin wird der Benutzer aufgefordert MAC Defender zu installieren, welches vortäuscht ein Antivirenprogramm zu sein. Um Nutzern einen Malware-Befall vorzutäuschen, öffnet MAC Defender nach der Installation zufällig Pornoseiten im Browser. Für ein Entfernen dieser vorgetäuschten Malware soll der Nutzer dann eine Lizenz zu einem Preis zwischen 59,95 $ und 79,95 $ kaufen. Darüber hinaus werden die eingegebenen Kreditkartendaten über entsprechende illegale Kanäle weiterverbreitet.<ref>Chester Wisniewski: Mac users hit with fake anti-virus when using Google image search. In: Naked Security. Sophos, 2. Mai 2011, abgerufen am 24. Mai 2011.</ref>
Entwicklung
Die Sicherheitssoftware-Firma Intego berichtete erstmals am 2. Mai 2011 über das angebliche Antivirenprogramm MAC Defender.<ref>Intego Security Memo – MAC Defender Fake Antivirus Program Targets Mac Users. Intego, 2. Mai 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>
Neue Varianten
In den folgenden Tagen tauchten mehrere neue Varianten der Malware unter den Namen Mac Security oder Mac Protector auf.<ref name="macsecurity">Intego Discovers New Variants of Mac Defender Fake Antivirus. Intego, 5. Mai 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref><ref name="macprotector">MacDefender, MacSecurity, now MacProtector: Latest Version of Fake Antivirus Targeting Mac Users. Intego, 8. Mai 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>
Eine Ende Mai unter dem Namen Mac Guard erschienene Variante installiert sich im Benutzerverzeichnis des angemeldeten Benutzers, sodass zur Installation keine Passworteingabe notwendig ist. Der Nutzer muss die Installation jedoch weiterhin manuell bestätigen.<ref name="macguard">INTEGO SECURITY MEMO – New Mac Defender Variant, MacGuard, Doesn’t Require Password for Installation. Intego, 25. Mai 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref> Auch hiervon erschienen in den folgenden Tagen mehrere Varianten, teils unter dem Namen Mac Shield.<ref name="macshield">Mac malware morphs to 'MacShield'. In: Technolog. MSNBC, 3. Juni 2011, archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am 6. Juni 2011; abgerufen am 16. Januar 2012. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref>
Reaktion von Apple
Der Blogger Ed Bott von ZDNet berichtete, dass die Anzahl der Supportanrufe vier- bis fünfmal höher war als üblich. Bis zum 24. Mai 2011, also innerhalb von knapp drei Wochen, gingen seiner Schätzung nach etwa 60.000 Anrufe beim AppleCare-Support zum Thema MAC Defender ein. Die Support-Mitarbeiter wurden laut Bott angewiesen, bei der Entfernung der Malware keine Hilfe zu leisten. Laut einem ungenannten Support-Mitarbeiter sollte diese Regelung verhindern, dass sich Nutzer an den technischen Support wendeten, statt Antivirensoftware einzusetzen.<ref>Ed Bott: An AppleCare support rep talks: Mac malware is "getting worse". In: zdnet.com. 18. Mai 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref><ref>Ed Bott: Apple to support reps: "Do not attempt to remove malware". In: zdnet.com. 19. Mai 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>
Am 24. Mai 2011 veröffentlichte Apple eine Anleitung zur Prävention und Entfernung der Malware.<ref>Malware "Mac Defender" vermeiden oder entfernen. Apple, 24. Mai 2011, abgerufen am 18. Februar 2012.</ref> Am 31. Mai 2011 veröffentlichte Apple ein Sicherheitsupdate für Mac OS X, welches den Trojaner von infizierten Macs entfernt und Mac OS X um eine automatische Aktualisierung der Malware-Definitionen erweitert.<ref>Informationen über das Sicherheitsupdate 2011-003. Apple, 31. Mai 2011, abgerufen am 18. Februar 2012.</ref>
Aufklärung
Bis zum 18. Juni erschienen mehrere neue Varianten der Malware, auf die Apple mit täglichen Aktualisierungen der Malware-Definitionen reagierte.<ref>Eric Slivka: Apple and 'Mac Defender' Malware Authors Continue Cat-and-Mouse Game. In: macrumors.com. 20. Juni 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref> Diese Entwicklung endete, nachdem die russische Polizei am 23. Juni Geschäftsräume des russischen Bezahldienstleisters ChronoPay durchsucht hatte, der für MAC Defender und eine ganze Reihe ähnlicher Programme verantwortlich ist.<ref>Brian Krebs: Fake Antivirus Industry Down, But Not Out. In: krebsonsecurity.com. 3. August 2011, abgerufen am 16. Januar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>
Der Ursprung der Software wurde über die E-Mail-Adresse des Buchhalters von ChronoPay zurückverfolgt. Diese Adresse wurde zur Registrierung mehrerer Internetseiten verwendet, auf welche Anwender geleitet wurden, um die vermeintliche Antivirensoftware zu kaufen.<ref>Damon Poeter: MacDefender Scareware Linked to Russian Payment Site. In: PCMag.com. 27. Mai 2011, abgerufen am 18. Februar 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref><ref>Russia’s ChronoPay Executive Linked to Mac Defender Scam. In: International Business Times. 28. Mai 2011, abgerufen am 18. Februar 2012.</ref>
Einzelnachweise
<references />