Was ist Tsunami?
Als erfahrener Mac-Sicherheitsexperte kennen wir Tsunami, auch Kaiten oder „Kaiten wa goraku“ genannt, als Trojaner-Malware. Sie kann die Kontrolle über Ihr macOS übernehmen – ein Risiko, das Sie vermeiden sollten. Im Unterschied zu vielen anderen Bedrohungen agiert Tsunami als IRC-Bot und verbindet sich mit Internet Relay Chat (IRC)-Servern und -Kanälen.
Wie bei anderen Trojanern müssen macOS-Nutzer sie zunächst unwissentlich herunterladen. Oft wird Tsunami mit scheinbar legitimen Softwarepaketen oder ausführbaren Dateien gebündelt. Der Trojaner tarnt sich und funktioniert nur, wenn der Mac-Besitzer das Admin-Passwort eingibt.
Sicherheitsforscher von ESET haben mehrere Varianten entdeckt. Einige frühe Versionen funktionierten offenbar nicht optimal, was auf Testversionen für OS X hindeutet.
Nach der Infektion übernimmt Tsunami die Kontrolle so:
1. Versteckt sich im Verzeichnis /usr/sbin/
Der Trojaner tarnt sich als Befehlszeilentool namens „logind“. macOS verwendet Daemons mit „d“-Endung im Hintergrund, was die Tarnung erleichtert. Das echte „logind“ läuft normalerweise in /System/Library/CoreServices/, nicht in /usr/sbin/.
2. Ersetzt das echte „logind“-Programm
Anstelle des legitimen „logind“ in /System/Library/CoreServices/, das vom Start-Daemon „com.apple.logind.plist“ gesteuert wird, überschreibt Tsunami dessen Inhalt und übernimmt Kernfunktionen.
Sicherheitsexperten beobachten Verbindungen zu IRC-Servern wie pingu.anonops.li oder x.lisp.su über Port 6667.
Welche Bedrohung stellt Tsunami für Macs dar?
Einmal aktiviert, verursacht Tsunami u. a.:
- DDoS-Angriffe (Distributed Denial of Service) auf Ziele des Command-and-Control-Servers;
- Ausführung von Shell-Befehlen, inklusive Diebstahl persönlicher Daten;
- Fernausführung von Dateien und Befehlen;
- Änderung von Servereinstellungen;
- IP-Spoofing und gefälschte Adressen;
- Deaktivierung von Sicherheitsprogrammen;
- Anzeige gefälschter Hilfsmenüs zur Verbreitung weiterer Malware.
Die größte Gefahr: Missbrauch Ihrer Mac-Leistung für DDoS-Angriffe und Shell-Befehle. Der infizierte Rechner wird anfällig für weitere Bedrohungen – Entfernung ist essenziell.
Tsunami manuell entfernen
Manuelle Entfernung ist möglich, erfordert jedoch Vorsicht und technisches Know-how.
Öffnen Sie den Finder, geben Sie „usr/sbin“ ein und suchen Sie „logind“. Löschen Sie es, falls vorhanden. Ersetzen Sie das echte „logind“ in /System/Library/CoreServices/ – Tools wie TextWrangler helfen bei der Authentifizierung und Bearbeitung.
Entfernen Sie verdächtige Dateien und Programme. Je länger der Trojaner verweilt, desto höher das Risiko weiterer Infektionen. Vermeiden Sie versehentliche Löschung systemkritischer Dateien, um Betriebsstörungen zu verhindern.
Tsunami einfach mit CleanMyMac X entfernen
CleanMyMac X ist unser bewährtes Tool zur Mac-Optimierung. Es entfernt Junk, neutralisiert Malware wie Tsunami und beschleunigt Ihr System mit einem Klick.
Das Malware-Removal-Modul erkennt Tausende Bedrohungen. So gehen Sie vor:
- Laden Sie CleanMyMac X herunter.
- Öffnen Sie die App.
- Wählen Sie die Registerkarte „Malware-Entfernung“.
- Klicken Sie auf „Scannen“.
- Bestätigen Sie mit „Entfernen“.
Fertig! Ihr Mac ist wieder sicher.
Tsunami ist nicht einzigartig – Malware nutzt oft legitime Software aus. Sofortiges Entfernen schützt Ihren Mac langfristig.