OS X ist eines der sichersten Betriebssysteme der Welt, für Apples Betriebssystem wurden nur sehr wenige Arten von Malware entwickelt. Trotzdem taucht hin und wieder eine neue Malware auf, die Mac-Besitzer bedroht, und heute spreche ich über eine neue Version einer Malware namens Imuler. Diese neue Bedrohung es ist versteckt in Dateien, die auf den ersten Blick wie einfache Bilder aussehen, in Wirklichkeit aber infizierte Dateien sind, die Ihnen einige Probleme bereiten können. Die Schadsoftware ist in unter den Namen veröffentlichten Archiven versteckt Bilder und der Artikel von Renzin Dorjee.zip si FHM Feb Covergirl Irina Shayk H-Res Pics.zip und die Infektionsmethode basiert auf der Tatsache, dass OS X keine Dateierweiterungen oder Miniaturansichten für Bilder anzeigt, sodass der Benutzer darauf zugreift, um sie anzuzeigen.
Die Malware installiert eine Hintertür unter /tmp/.mdworker zusammen mit anderen Dateien in diesem Verzeichnis. Anschließend wird ein Prozess namens .mdworker gestartet. Der mdworker-Prozess (nicht das Fehlen des . vor dem Namen) ist ein Prozess, der von Spotlight zum Indizieren von Dateien verwendet wird. Eine Launchagent-Datei wird außerdem unter ~/library/LaunchAgents/checkvir.plist installiert, zusammen mit einer ausführbaren Datei im selben Ordner. Sicherstellen, dass die Malware gestartet wird, wenn sich der Benutzer an seinem Mac anmeldet oder ihn startet. Nach einem Neustart wird der .mdworker-Prozess gelöscht und die ausführbare Datei checkvir gestartet. Diese Malware sucht nach Benutzerdaten und versucht, diese auf einen Server hochzuladen. Außerdem werden Screenshots erstellt und an den Server gesendet. Es erstellt eine eindeutige Kennung für den jeweiligen Mac, um den Mac und die von ihm erfassten Daten verknüpfen zu können. Wir haben gesehen, dass diese Malware aktiv ist, da sie eine Verbindung zu einem Remote-Server herstellt und neue ausführbare Dateien herunterlädt.
Nach dem Zugriff öffnet die Malware einen Prozess namens .mdworker, auf dem Mac und öffnen Sie beim Neustart eine zuvor kopierte Datei ~/library/LaunchAgents/checkvir.plist. Wenn Sie mit dieser Malware infiziert wurden, werden vom gesamten Betriebssystem gesammelte Informationen sowie Screenshots des Mac-Bildschirms von Ihrem Mac an die Server der Hacker gesendet, sodass Hacker ohne großen Aufwand alles herausfinden können, was Sie tun. Stellen Sie zu Ihrem eigenen Schutz sicher, dass Sie die Option zum Anzeigen von Dateierweiterungen unter Finder > Einstellungen > Alle Dateinamenerweiterungen anzeigen aktiviert haben.
