Seit dem 16.02.2006 ist eine Datei im Internet im Umlauf, die sich auf Mac’s einnisten will. Die Datei mit dem Namen „latestpics.tgz“ soll angeblich Bilder der neuen Benutzeroberfläche von Mac OS X 10.5 (Leopard) enthalten. Tatsächlich landet jedoch nach dem Entpacken eine versteckte Datei namens „._latestpics“ auf der Festplatte. Da der Datei ein Punkt vorausgeht erscheint diese nicht im Finder, sondern ist nur im Terminal und mit dem Kommando „ls -la“ sichtbar. Man öffnet mit dieser Datei jedoch kein Bild, sondern ein ausführbares Kommandozeilenprogramm. Hierbei landet eine Datei namens „apphook.bundle“ im Ordner /Library/InputManagers, wenn Sie als Administrator angemeldet sind, oder im Ordner ~/Library/InputManagers wenn Sie als normaler Benutzer angemeldet sind. Er verpackt sich bei dieser Aktion selbst zu einem neuen Pakt, das über Apples iChat verbreitet wird. Vorgesehen ist wohl bereits eine Implementierung in Apples Mail, die jedoch noch nicht aktiv ist. Desweiteren wird versucht über Spotlight die letzten vier aktiven Programme ausfindig zu machen und diese zu infizieren. Mit den folgenden Maßnahmen kann man die Gefahr vermindern.
1.) Die oben genannten Ordner absichern
Sind die genannten Ordner noch nicht vorhanden, dann legen Sie sie mit dem folgenden Befehl an:
sudo mkdir /Library/InputManagers
Übergeben Sie den Ordner an root und die root-Gruppe wheel:
sudo chown root:wheel /Library/InputManagers
Nun der Gruppe und allen anderen außer dem Besitzer die Schreibrechte entziehen:
sudo chmod go-w /Library/InputManagers
Wenn Sie mit einem eingeschränkten Benutzeraccount arbeiten, wiederholen Sie die obigen Schritte mit dem Verzeichnis ~/Library/InputManagers.
2.) Wie immer kann eine weitere Empfehlung nur lauten:
Immer einen eingeschränkten Benutzeraccount für die tägliche Arbeit nutzen.
3.) Öffnen Sie nie Dateien deren Herkunft unbekannt ist. Spezielles Augenmerk möchte ich hier auf Anhänge in E-Mails lenken.