Neue Variante von Flashback endeckt

Nach Angaben mehrerer Antivirenhersteller ist eine neue Variante des Flashback-Trojaners aufgetaucht. Bereits im August schlich er sich in Macs ein, indem er sich über ein vorgetäuschtes Flash-Update Zugang ins System verschaffte. Der neue Trojaner mit dem Namen Flashback.B soll über zwei Neuerungen verfügen, die es deutlich erschweren ihn aufzuspüren oder zu entfernen.

Eine Neuerung besteht darin, dass der Trojaner beim Start prüft, ob er sich in einer virtuellen Maschine befindet. Ist das der Fall, bleibt das Programm inaktiv. So kann ein Sicherheitsexperte, der in einer virtuellen Umgebung nach Malware sucht, den Trojaner nicht so schnell entdecken.

Zudem legt Flashback.B seine Dateien nicht mehr unter dem Pfad ~/Library/Preferences/Preferences.dylib ab, wo sie leicht zu finden sind. Um unerkannt zu bleiben, werden jetzt direkt Veränderungen an der Datei info.plist vorgenommen, die zu Safari gehört. Die Folgen sind gravierend. Wenn die eigentlichen Schädlinge unter ~/Applications/Safari.app/Contents/Resources/ gelöscht werden, kann Safari nicht mehr gestartet werden. Wenn Firefox auf den System installiert ist, werden auch dessen Programmdateien verändert. Bei Start des Browsers lädt der Trojaner dann weiteren Schadcode aus dem Internet herunter.

Um sich vor dem Trojaner Flashback.B zu schützen, sollten Sie den Adobe Flash-Player nur von offiziellen Webseiten herunterladen. Wie Sie Ihr System auf Infektionen prüfen und Flashback.B entfernen können, erfahren Sie beispielsweise bei F-Secure.