Viren, Würmer und Trojaner

03.06.10 - Ein Hersteller von Antiviren-Software hat von Spyware berichtet, die sich in den kostenlosen Bildschirmschonern der Firma 7art-screensavers verbergen soll. Auch die Konvertierungssoftware FLV To Mp3 von MishInc soll für den Mac gefährlich werden können.

In der genannten Software soll sich die OSX/OpinionSpy-Spyware verstecken. Die Schadsoftware soll unter anderem Daten auf dem infizierten Mac scannen, die Aktivitäten des Benutzers aufzeichnen und diese an Remote-Server übermitteln. Zudem soll sie eine Hintertür für Angreifer öffnen. Intego stuft die Bedrohung als hoch ein.

07.09.09 - Nach über einem Jahr wird wieder einmal ein Eintrag auf dieser Seite notwendig.

Das vor kurzem erschienene Mac OS X 10.6 Snow Leopard bietet nun einen einfachen Schutz vor Trojanern. Es werden Dateien überprüft, die per Browser, Mail, iChat oder Entourage heruntergeladen werden. Dateien aus Torrent- oder FTP-Quellen werden allerdings nicht gescannt.

Wie zu hören ist, pflegt Apple eine eigene Liste mit Signaturen, die immerhin schon zwei Einträge enthält ;-) Die Trojaner, die bisher unter OS X aufgetaucht sind.

27.06.08 - Wieder ist vor einigen Tagen ein Trojaner aufgetaucht. Deshalb habe ich einige Links mit Anti-Virenprogrammen zusammengesucht.

02.11.07 - Anscheinend ist vor zwei Tagen der erste speziell für Mac OS X programmierte Trojaner aufgetaucht: Nachdem man einen Videolink (z.Z. vor allem auf Pornoseiten) angeklickt hat, erscheint ein Hinweisfenster mit der Mitteilung, dass ein benötigter Video-Codec fehlt. Wenn Sie das angebotene Image herunter laden und das Installer-Paket installieren (nachdem Sie das Admin-Passwort eingegeben haben), biegt der Trojaner die DNS-Einstellungen des Mac auf eine beliebige andere Website, wie z.B. eine Paypal-Doppelgängerseite um, um z.B. Kontodaten abzufischen. Ausserdem wird ein automatischer Cron-Job angelegt, der die falsche DNS-Einstellung restauriert, wenn sie geändert wurde.

13.02.06 - Nun ist es also passiert, vier Jahre nach Erscheinen von Mac OS X ist heute der erste Mac-Virus in freier Wildbahn aufgetaucht.

Über einen Link in einem amerikanischen Mac-Forum wurde ein als JPG-Bild getarntes Kommandozeilen-Programm in Umlauf gebracht, das sich nach einem Doppelklick auf das vermeintliche Bild selbstständig im aktuellen Benutzer-Account verbreitet. Es hängt sich an gestartete Programme an und versucht sich an die Kontakte einer vorhandenen iChat Buddy-Liste zu versenden. Nach der Infektion starten die Programme aufgrund einer zu geringen Speicherzuweisung nicht mehr.

Die Reaktionen in der Mac-Scene sind recht unterschiedlich. Einige scheinen total überrascht zu sein, dass "ihr" Mac OS plötzlich virentechnisch mit Windows auf Augenhöhe stehen könnte.
Andere sind der Meinung, dass die User selber Schuld sind, die arglos auf unbekannte Bilder klicken. Diesen Profis wäre so etwas natürlich NIIIEMALS passiert ;-)
Es gibt auch Mac-User, die sich und Mac OS X überhaupt nicht bedroht fühlen. Solch eine positive Lebenseinstellung geht mir eindeutig zu weit...

Die Hersteller von (Anti)-Virensoftware wiederum weisen mit Nachdruck darauf hin, dass sie es ja schon immer gewusst haben... Interessant war in diesem Zusammenhang ein Bericht auf Mac Essentials, der daran erinnert, dass schon im April 2004 ein "MP3-Trojaner" auftauchte, bei dem sich später herausstellte, dass die französische Sicherheitsfirma Intego ein harmloses Proof of Cencept als gefährlichen Trojaner ausgegeben hatte. Im April 2005 wurde ein "OS X-Trojaner" entdeckt, bei dem sich ebenfalls herausstellte, dass er schon seit einem Jahr unter anderem Namen bekannt war und der Anti-Virenhersteller Sophos die Bedrohung frei erfunden hatte.

Woher das jetzt aufgetauchte Skript tatsächlich stammt, ist allerdings noch unklar. Ebenso, ob es in böser Absicht programmiert wurde.

Schade, dass da ein Mac-User der Versuchung nicht widerstehen konnte. Ich bin mir aber sicher, dass der erhoffte Ruhm des Programmierers ausserhalb seiner Szene schnell verfliegt und dass sein "Ehren-Score" für Immer und Ewig auf Null stehen wird.
 

Wie kann man sich schützen?

Das können Sie sofort tun

• Arbeiten Sie nicht als Administrator - Leider erhält immer noch der erste Benutzer, der sich nach dem Kauf eines Macs am Rechner anmeldet, automatisch Administratorrechte. Er darf also weitreichende Manipulationen am System vornehmen. Für die tägliche Arbeit ist das aber überhaupt nicht notwendig!

  Richten Sie einen weiteren Admin-Account ein und benutzen Sie Ihren bisherigen Account als normaler Benutzer weiter:

  • Wählen Sie in den Systemeinstellungen im Bereich System das Symbol Benutzer aus.
  • Klicken Sie unten links auf das Schloss und geben Sie das Administrator-Kennwort ein.
  • Klicken Sie über dem Schloss auf das Symbol mit dem Plus-Zeichen, um einen neuen Benutzer-Account anzulegen.
  • Geben Sie einen Namen ein, z.B. Admin. Übernehmen Sie mit der Tabulatortaste den Kurznamen und tragen Sie ein nicht allzu einfaches Kennwort ein. Lassen Sie die Merkhilfe leer, sie würde auch anderen Personen helfen, auf das Kennwort zu kommen. Aktivieren Sie den Punkt "Der Benutzer darf diesen Computer verwalten". Klicken Sie auf Account erstellen.
  • Klicken Sie in der Auswahlliste auf Ihren bisherigen Account.
  • Klicken Sie unten in der Liste auf das Haussymbol "Anmelde-Optionen".
  • Deaktivieren Sie den Punkt "Der Benutzer darf diesen Computer verwalten". Geben Sie das Administrator-Kennwort ein.

  Nun können Sie mit Ihrem bisherigen Account wie gewohnt weiter arbeiten, tun dies aber nicht mehr als Administrator. Wenn zukünftig ein Programm Änderungen ausserhalb Ihres Benutzer-Accounts vornehmen will, muss es vorher nach dem Administrator-Kennwort fragen. So haben Sie Gelegenheit angemessen zu reagieren.

• Erstellen Sie regelmäßig (z.B. täglich;-)) Sicherheitskopien Ihrer Daten. Notfalls ziehen Sie einfach Ihren Dokumente-Ordner mit der Maus auf eine externe Festplatte.

  Viel bequemer ist natürlich Apples Backuplösung Time Machine. Seit Mac OS X 10.5 Leopard gehört das Programm zum Lieferumfang des Systems und ermöglicht die automatische Sicherung Ihrer Daten. Aktivieren Sie Time Machine in den Systemeinstellungen im Bereich 'System'.

  Oder verwenden Sie ein kostenloses Backup-Programme, wie z.B. SilverKeeper oder iBackup.

• Installieren Sie die von Apple bereitgestellten Sicherheits-Updates. Wenn Sie in den Systemeinstellungen im Bereich 'Softwareaktualisierung' nicht die automatische Installation aktiviert haben, klicken Sie auf das Apfelsymbol oben links am Monitor und wählen Sie den Punkt 'Softwareaktualisierung' aus.

  Ein DSL-Anschluss ist nützlich, weil die Downloads teilweise recht groß sind.
  Sie können die Updates auch von den Apple-Seiten im Bereich Support von Hand herunterladen und z.B. mittels einer externen Festplatte oder eines USB-Sticks auch auf Rechnern installieren, die keinen DSL-Anschluss besitzen.

• Öffnen Sie keine unbekannten Archive und geben Sie kein Administrator-Kennwort zum Entpacken ein, wenn Sie sich unsicher sind, ob Sie dem Ersteller des Archives vertrauen können.
• Öffnen Sie keine Bilder, wenn Sie dabei zur Angabe des Administrator-Kennwort aufgefordert werden.
• Installieren Sie keine unbekannten Programme, die Sie zur Eingabe des Administrator-Passwortes auffordern - Vor allem keine Programme, deren Namen Sie noch nie gehört haben und die nirgendwo in Foren oder Portalen entsprechend erwähnt sind.
• Installieren Sie keine Videocodecs, nur weil ein Hinweisfenster auf einer fremden Webseite Sie dazu auffordert. - Wenn Sie die hier vorgeschlagenen Codecs installiert haben und aktuell halten, brauchen Sie keine weiteren.
• Aktivieren Sie die Firewall Ihres Routers. Ist Ihrem Rechner kein Router vorgeschaltet, aktivieren Sie die Firewall von OS X in den Systemeinstellungen im Bereich 'Persönlich / Sicherheit'.
• Deaktivieren Sie in den Voreinstellungen Ihres Browsers Safari im Bereich 'Allgemein' den Punkt 'Sichere Dateien nach dem Laden öffnen', um zu verhindern, dass z.B. als Bilder getarnte Programme automatisch gestartet werden.
• Öffnen Sie keine Dateianhänge von eMails, deren Absender Sie nicht für vertrauenswürdig halten.

Das können Sie ausserdem tun

• Besorgen Sie sich eine Antiviren-Software. Die kommerziellen Programme haben bisher noch nicht wirklich bewiesen, dass Sie ihr Geld wert sind. Eher sind sie für ihre schlechte Programmierung berüchtigt und dafür, dass sie Viren finden, wo gar keine sind. - Da sich dies aber in Zukunft ändern kann, hier eine kleine Linkliste mit Anti-Virenprogrammen.
• Klonen Sie die Systempartition - Mit dem Programm Carbon Copy Cloner können Sie eine exakte Kopie Ihres Systemlaufwerks auf DVD oder einer externen Festplatte sichern. Bei einem Virenbefall (oder einem anderen Unglück) löschen Sie die Festplatte und kopieren den Klon (die exakte Kopie) zurück auf die Festplatte.

Abschließend noch ein Hinweis (nur um nicht die Relationen aus den Augen zu verlieren): Bisher (September 2009) waren ein Virus und zwei Trojaner öffentlich unter Mac OS X aktiv. Dies zeigt einerseits, dass auch Mac OS X angreifbar ist und sollte zu einer vorbeugenden Beschäftigung mit dem Thema anregen. Andererseits besteht aber kein Grund, um in Panik zu verfallen ;-)