Karan
Die Firma Intego hat für einige Aufregung in der Mac-Community gesorgt: In einer am vergangenen Donnerstag verbreiteten Meldung behauptet der Hersteller von Antivirenprogrammen, den ersten Trojaner gefunden zu haben, der Mac OS X befällt. Getarnt als MP3-Datei sei der Übeltäter in der Lage, sämtliche Dateien des Anwenders zu löschen, sich per E-Mail zu verbreiten und andere MP3-, JPEG-, GIF- oder QuickTime-Dateien zu infizieren.
Tatsächlich handelt es sich bei der aufgetauchten Datei um eine Machbarkeitsstudie: Die MP3-Datei enthält in ihrem ID3-Tag Code, der eine Meldung auf dem Bildschirm anzeigt. Gleichzeitig startet er das Programm iTunes, das dann den MP3-Inhalt abspielt. Dass der Code überhaupt ausgeführt wird, liegt an der Art und Weise, wie Mac OS Programme erkennt: Die Datei enthält so genannte carb- und cfrg-Ressourcen; letztere zeigt auf den Code im ID3-Tag. Der Finder zeigt die Datei als normales MP3 an, weil sie die Dateiendung .mp3 trägt; ein Blick auf die erweiterten Dateiinformationen enttarnt sie aber als Programm.
Letztendlich ist der MP3Concept oder MP3Virus.Gen getaufte "Trojaner" also nichts anderes als ein als normale Datei getarntes Programm. Dass ein tatsächlicher, nach diesem Muster gestrickter Schädling sich per E-Mail oder über Tauschbörsen verbreiten könnte, ist unwahrscheinlich: Er müsste mit BinHex oder StuffIt komprimiert sein, weil sonst die zum Ausführen notwendigen Ressourcen verloren gehen.
Mittlerweile rudert auch Intego ein Stück weit zurück und erklärt auf einer FAQ-Seite, dass die vorliegende Datei tatsächlich harmlos ist. Allerdings wird betont, dass sich über den benutzten Mechanismus auch schädlicher Code ins System einschleusen ließe. Ob dagegen tatsächlich ein Antivirenprogramm hilft, ist aber fraglich: Zunächst einmal ist Apple gefordert, ein Update zu liefern, das Programme im Finder auch als solche anzeigt. Ein Allheilmittel wäre das aber auch nicht: Schließlich lassen sich Anwendungen mit beliebigen Icons verzieren. Letztendlich liegt es in der Verantwortung eines jeden Anwenders, beim Anklicken von Dateien zweifelhafter Herkunft eine gesunde Portion Misstrauen walten zu lassen.
Quelle: heise.de
Tatsächlich handelt es sich bei der aufgetauchten Datei um eine Machbarkeitsstudie: Die MP3-Datei enthält in ihrem ID3-Tag Code, der eine Meldung auf dem Bildschirm anzeigt. Gleichzeitig startet er das Programm iTunes, das dann den MP3-Inhalt abspielt. Dass der Code überhaupt ausgeführt wird, liegt an der Art und Weise, wie Mac OS Programme erkennt: Die Datei enthält so genannte carb- und cfrg-Ressourcen; letztere zeigt auf den Code im ID3-Tag. Der Finder zeigt die Datei als normales MP3 an, weil sie die Dateiendung .mp3 trägt; ein Blick auf die erweiterten Dateiinformationen enttarnt sie aber als Programm.
Letztendlich ist der MP3Concept oder MP3Virus.Gen getaufte "Trojaner" also nichts anderes als ein als normale Datei getarntes Programm. Dass ein tatsächlicher, nach diesem Muster gestrickter Schädling sich per E-Mail oder über Tauschbörsen verbreiten könnte, ist unwahrscheinlich: Er müsste mit BinHex oder StuffIt komprimiert sein, weil sonst die zum Ausführen notwendigen Ressourcen verloren gehen.
Mittlerweile rudert auch Intego ein Stück weit zurück und erklärt auf einer FAQ-Seite, dass die vorliegende Datei tatsächlich harmlos ist. Allerdings wird betont, dass sich über den benutzten Mechanismus auch schädlicher Code ins System einschleusen ließe. Ob dagegen tatsächlich ein Antivirenprogramm hilft, ist aber fraglich: Zunächst einmal ist Apple gefordert, ein Update zu liefern, das Programme im Finder auch als solche anzeigt. Ein Allheilmittel wäre das aber auch nicht: Schließlich lassen sich Anwendungen mit beliebigen Icons verzieren. Letztendlich liegt es in der Verantwortung eines jeden Anwenders, beim Anklicken von Dateien zweifelhafter Herkunft eine gesunde Portion Misstrauen walten zu lassen.
Quelle: heise.de
