Sinds vorige week lopen Macintosh-gebruikers gevaar dat ze een trojan met de naam DNSchanger binnenhalen. Maar volgens Mikko Hypponen, hoofdonderzoeker bij F-Secure, lopen ook Windows-gebruikers risico's wanneer ze codecs downloaden of pornosites bezoeken: "Het ziet er naar uit dat de Mac-trojan waar we vorige week over publiceerden, geen geïsoleerd incident is. De bende erachter richt zich zowel op Mac- als op Windows-gebruikers. En ze blijven maar doorgaan om steeds gewijzigde versies voor de Mac uit te brengen".

Volgens technisch manager Patrik Runald van hetzelfde bedrijf verzamelt de trojan gegevens over de computer en het geïnstalleerde besturingssysteem en stuurt dit naar een ip-adres in de Oekraïne.

De Trojan is vermomd als videocodec en wordt onder andere verspreid via de site procodec.net, die maar liefst 1.090 geïnfecteerde installer-varianten aanbiedt. Na het downloaden worden de dns-instellingen van de computer gewijzigd, waardoor gebruikers voortdurend op pornosites terechtkomen. De makers hopen dat geïnfecteerden daarna op advertenties klikken. De trojan werd ontdekt door Intego, een bedrijf dat beveiligingssoftware voor de Mac ontwikkelt.

F-Secure vermoedt dat dezelfde criminele groep eerder verantwoordelijk was voor de Windows-trojan zlob. Deze verspreidde zich eveneens via een valse codec en het ging daarbij ook om advertentiekliks. Omdat er geld in het spel is en er professionele bendes achter lijken te zitten, denkt Runald dat we soortgelijke malware vaker zullen zien. Criminelen hebben blijkbaar het Mac-platform ontdekt. Maar we moeten het volgens Runald ook niet overdrijven: "Dit betekent niet dat het Mac-platform nu een malware-epidemie tegemoet kan zien".

Craig Schmugar van McAfee denkt dat het veelgehoorde argument dat Mac-gebruikers veilig zijn voor virussen, nu wel van tafel kan. Volgens hem zijn er zijn duizenden domeinen die de malware verspreiden en dat zijn niet alleen pornosites. Schmugar maakt de vergelijking met Bagle, dat een van de meest succesvolle trojans op het Windows-platform is geweest. Daarbij moesten gebruikers heel wat meer moeite doen om geïnfecteerd te raken dan bij DNSchanger. "Deze Mac-trojan wordt gemaakt door professionals die waarschijnlijk duizenden dollars per maand verdienen met klikfraude, gekaapte affiliate-sites en andere illegale activiteiten."