Quelle: ASSOZIIERTE PRESSEIn einer normalen Situation wird Malware jeglicher Art nach dem Erkennen eines der Antivirenunternehmen innerhalb von ein oder zwei Tagen (wenn nicht mehreren Stunden) von der Antivirensoftware anderer Unternehmen erkannt. Kürzlich wurde festgestellt, dass der vor vier Monaten gefundene Virus für Mac von Antivirensoftware immer noch nicht erkannt wird - nichts als Kaspersky und ZoneAlarm.
Laut Experten für Informationssicherheit ist Windshift (der Name für Malware) ein Projekt einer Cybercrime-Gruppe aus dem Nahen Osten. Über den Virus wurde beispielsweise
hier und
hier wiederholt gesprochen und geschrieben.
Letzte Woche veröffentlichte der MacOS-Informationssicherheitsspezialist Patrick Wardle
eine detaillierte Analyse der Malware. Um den Virus zu untersuchen, installierte der Experte ihn und überprüfte sofort, wie gut Antivirensysteme mit der Gefahr umgehen. Wie sich herausstellte, sind nur Kaspersky und ZoneAlarm mit dieser Malware „vertraut“, andere Unternehmen wissen nichts darüber.
Experten haben herausgefunden, dass Apple auch mit Malware vertraut ist, da die digitalen Zertifikate, mit denen die Software signiert ist, widerrufen wurden (CSSMERR_TP_CERT_REVOKED). Nach Überprüfung des VirusTotal-Dienstes, über den Dateien im Zusammenhang mit der Malware ausgeführt wurden, stellte sich jedoch heraus, dass sie fast nicht erkannt wurden. In den meisten Fällen hat der Dienst keine Probleme festgestellt - nur zwei Anbieter von Antivirenlösungen haben das Vorhandensein von Malware festgestellt.
All dies kann darauf hinweisen, dass Apple Antiviren-Entwicklern keine Definitionen von Malware zur Verfügung stellt. Die Bereitstellung dieser Daten ist in der Welt der Antivirensoftware eine gängige Praxis (man könnte sogar sagen Routine). Durch den Austausch dieser Daten können Dienste und Antivirensoftware schnell feststellen, ob neue Malware vorhanden ist. Wenn niemand Informationen darüber gibt, wissen die Antiviren-Entwickler nichts über Malware.
Das Funktionsprinzip der Malware selbst ist recht einfach. Zunächst werden Phishing-E-Mail-Nachrichten an potenzielle Opfer gesendet. Sie enthalten die URL der Seite mit der ZIP-Datei, die Malware enthält. Sobald der Dateidownload abgeschlossen ist, versucht die Malware, eine benutzerdefinierte URL zu verwenden, was nicht allzu schwierig ist. Während eines Versuchs, zu dieser URL zu wechseln, fordert eine bereits geöffnete Seite, von der die Malware geladen wird, die Installation von Software von Drittanbietern an. Nach der Installation wird die Malware auf dem System ausgeführt und ersetzt normale Seiten durch URLs.
Wenn der Besitzer eines infizierten Systems mit einem lokalen Netzwerk verbunden ist, dringt die Malware übrigens automatisch in andere Geräte ein, die mit demselben Netzwerk verbunden sind.
Jetzt ist der Virus nahezu harmlos, da die Server, auf die er zugegriffen hat, deaktiviert sind und nicht funktionieren. Darüber hinaus wird in den neuesten Safari-Browserversionen jetzt eine Benachrichtigung angezeigt, wenn ein benutzerdefiniertes URL-System aktiviert ist. Und wenn der Benutzer überhaupt fortfährt, wird die Gatekeeper-Sicherheitsfunktion aktiviert, die den Mac-Besitzer darüber informiert, dass sein System versucht, eine Art Datei zu installieren.
Vor nicht allzu langer Zeit versuchten Journalisten aus mehreren Publikationen von Apple herauszufinden, was das Unternehmen getan hatte, um die Bedrohung zu beseitigen. Das Unternehmen antwortete, dass das Problem behoben wurde und für seine Benutzer nicht mehr relevant sein wird. Es ist jedoch unklar, was genau getan wurde und warum Apple Antiviren-Diensten keine Bedrohungsdaten zur Verfügung stellt. Es kann durchaus sein, dass sich diese Situation mit anderer Malware und nicht nur mit Windshift wiederholt, sodass diese Verhaltensweise des Unternehmens im Hinblick auf die Pflege seiner Benutzer schwer zu erklären ist.
Der Austausch von Malware-Daten zwischen einzelnen Organisationen, die Viren bekämpfen, ist für die Informationssicherheit von großer Bedeutung. Wenn Unternehmen nicht ausgetauscht hätten, wäre die normale Arbeit, gefährliche Malware zu identifizieren und zu beseitigen, unmöglich geworden. Leider liefert Apple keine Informationen darüber, wie es an Datenaustauschprogrammen zwischen Antivirenspezialisten teilnimmt. Dadurch werden solche Situationen möglich.