mshelper: Mac-Malware lässt die Lüfter blasen

Wenn die Lüfter eures Mac sei kurzem regelmäßig auf Hochtouren laufen, empfiehlt sich ein Blick in die Aktivitätsanzeige. Falls dort ein Prozess namens „mshelper“ als Verursacher für die hohe CPU-Last angezeigt wird, habt ihr euch eine Malware eingefangen.

Bei „mshelper“ handelt es sich offenbar um eine modifizierte Version des Cryptominers XMRig. Die Malware nutzt fremde Rechner, um nach der Krypto-Währung Monero zu suchen.

In Apples Support-Foren haben sich in der vergangenen Woche etliche Nutzer gemeldet, die sich mit konstant hoher Prozessorauslastung konfrontiert sahen und in der Folge auf den bislang unbekannten Prozess gestoßen sind. Teils wurde die Anwendung auch direkt von Antivirenprogramme als nicht näher klassifizierte Malware erkannt. Die Experten von Malwarebytes haben sich mittlerweile ausführlich mit „mshelper“ auseinandergesetzt.

Verantwortlich für den Prozess ist eine im Verzeichnis Library/Application Support/pplauncher installierte Datei namens pplauncher, die über altbekannte Malware-Vertriebswege zum Nutzer findet: Gefälschte Software-Installer, zweifelhafte Downloads oder auch bösartige E-Mail-Anhänge.

Grundsätzlich verursacht die Software keinen direkten Schaden, sorgt aber dafür, dass euer Mac permanent auf Hochtouren arbeiten muss. In der Folge steigt nicht nur die Stromrechnung, sondern kann sich die dauerhafte Belastung auch schädlich auf Hardwarekomponenten auswirken.

Wer die Malware loswerden will, kann sich entweder die Mac-Version des Virenscanners von Malwarebytes holen, diese lässt sich 30 Tage lang kostenlos nutzen. Alternativ bestehet auch die Möglichkeit, die folgenden Dateien bzw. Verzeichnisse manuell zu entfernen:

• ~/Library/Application Support/pplauncher/pplauncher
• ~/Library/LaunchDaemons/com.pplauncher.plist