Virenschutz für Mac? Sinnvoll oder nicht?

Dieser Beitrag wurde vor mehr als 3 Jahren veröffentlicht. Daher kann es sein, dass sein Inhalt oder ein Teil davon nicht mehr aktuell ist.

Des öfteren bekomme ich zu hören „brauche ich eigentlich einen Virenschutz für meinen Mac?“. Meine Antwort ist klar: Eigentlich braucht man das nicht .

Nun ja, es wird nun Menschen geben die das für kompletten Unsinn halten und auf irgendeinen Virenschutz setzen. Damit habe ich letztendlich auch gar kein Problem, den jeder sollte selbst entscheiden wie Er oder Sie einen Mac bedient.

Welche Software benutzt du?

Ich benutze aktuell keine richtige Virenschutzsoftware. Derzeit habe ich nur den BitDefender VirusScanner aus dem Mac App Store sowie AdwareMedic , eine Donationware (bezahl einfach das was du möchtest oder nichts), aus dem Internet.

Nun aber eine kleine Zeitreise durch die Macintosh Virenwelt:

2004

Intego entdeckte den Virus „AS.MW2004.Trojan“, ein etwas mehr 100 KB großes Apple Script dessen Icon an „Microsoft Office for Mac 2004 Web Installer“ erinnerte. 
Sobald man das Script ausführt, wird das gesamte Home Verzeichnis des Nutzers und das Script selbst gelöscht. Der „Virus“ verbreite sich jedoch nie selbst, noch wurde dieser irgendwo im Netz angetroffen. Später stellte sich heraus: Es war nur eine Demonstration.

Im selben Jahr wurde ebenfalls das Programm „SH.Renepo.B“ dokumentiert. 
Problem: Der Virus wurde nicht via Internet verbreitet und der potentielle Angreifer benötigte Zugang zum Mac. Spätestens wen das erfolgt, ist es eh zu spät.

2006

Symantec dokumentierte den Trojaner „OSX.Exploit.Launchd“ nach Schließung der Sicherheitslücke durch Apple in OS X 10.4. Der Trojaner konnte keinen größeren Schaden anrichten, die Sicherheitslücke wurde mit 10.4.1 gepatched. Bis die Sicherheitslücke gepatched wurde, war der Trojaner praktisch unbekannt.

Der Wurm „OSX.Leap.A“ gelangte am 13.02.2006 durch einen User im MacRumors Forum an die Öffentlichkeit. Das Thema „Alleged screenshots of OS 10.5 Leopard“ sollte eigentlicht geleakte Fotos vom neuen OS X 10.5 zeigen. Jedoch führte der download zu einer gepackten Datei die nachdem öffnen ein Terminal mit unbekannter Ausgabe zeigte. Mehrere Tage später wurde durch einen anderen User von MacRumors berichtet, dass dieses dubiose Datei einen anderern Rechner in seinem Netzwerk kontaktierte und sich auf diesen Rechner übertrug.Durch eine schlechte Programmierung wurden allerdings alle infizierten Programme unter OS X unbrauchbar, weswegen der Wurm keinen großen Schaden anrichten konnte. Bis heute herrschen Streitigkeiten ob es nun ein Virus, Trojaner, Wurm oder eine schädliche Software war.

Kevin Finisterre veröffentlichte Wurm „InqTana“. Der Wurm konnte eine Sicherheitslücke in der Bluetoothsoftware ausnutzen um Zugang zum System zu erhalten. Eine größere Verbreitung wurde nicht dokumentiert, da dieser sich kurz nach Veröffentlichung selbst deaktivierte. Ein Schaden enstand nicht. Die Sicherheitslücke wurde durch Apple gepatched.

Macarena werde ich hier nicht erwähnen, weil der Nutzer sich den Virus selbst kompilieren musste. Wer sich selbst infizieren möchte – viel Spaß dabei. „WOW ich hab 127.0.0.1 gehackt“

2007

Der Trojaner „OSX.RSPlug.A“ wurde durch dubiose Seiten verteilt, die den Nutzer dazu aufgefordert haben ein „Video Codec“ zu installieren um sich den Inhalt anschauen zu können. Das Codec installierte jedoch ein Trojaner auf dem Rechner der die DNS Einträge änderte um den Nutzer auf Phishing Seiten von Banken und Ebay weiterzuleiten. Seit Juni 2012 wurden keine neuen Ableger registriert. Das Risiko wird jedoch heute noch als Medium eingeschätzt.

2009

Intego entdeckt den Wurm „OSX.Tored@mm“, der sich über E-Mail Adressen verbreiten sollte. Allerdings verhinderte die richtige Ausführung ein Fehler im Source Code und ein nicht existenter SMTP-Server. Die Verbreitung des nicht funktionalen Wurms wird als unwahrscheinlich eingestuft.

2010

Intego entdeckte den Trojaner „OSX/HellRTS.D“. Dieser sollte auf dem Gerät ein Mailserver einrichten, diverse Freigaben aktivieren und sich in Dateien verstecken. Die Verbreitung wird als gering eingeschätzt – die Sicherheitslücke ist mittlerweile geschlossen.

2011

Die Virenschutzsoftware „MacDefender“ wird bekannt. Hierbei handelt es sich um einen Scareware-Trojaner der sich mithilfe des Nutzers verbreitet hat und als erste größere Bedrohung für OS X eingestuft wurde. Diverse Internetseiten gaben damals vor die interne Festplatte gescannt und mehrere Bedrohungen festgestellt zu haben – die nur mit der Software „MacDefender“ entfernt werden können. Um dem Nutzer einen echten Malwarebefall vorzutäuschen wurden nach Installation mehrere Dubiose Webseiten geöffnet. Zum entfernen der „vorgetäuschten Malware“ musste eine Lizenz für 59 $ erworben werden. Eingegebene Kreditkartendaten verbreiteten sich angeblich über dubiose Seiten. Durch ein Sicherheitsupdate von Apple konnte die Malware entfert werden.

Und nun zu den aktuellen Bedrohungen:

2012

Der Trojaner „FlashBack“ nutzt eine Sicherheitslücke in einer veralteten Java Version von Oracle und Apple um in das System einzudringen. Angeblich waren zum Zeitpunkt der Entdeckung 550.000 Geräte betroffen. Der Trojaner tarnt sich als Adobe Flash Update um das vertrauen des Nutzers zu gewinnnen. Während der Installation wird geprüft ob diverse Software (unter anderem Little Snitch, Xcode oder Avast Anti Virus) auf dem Mac installiert ist. Falls ja wird die Installation sofort abgebrochen – laut Apfelwerk hat es „einen dokumentierten “Befall” durch OSX/Flashback.I trotz aktivem “Little Snitch”-Programm“ gegeben. Mittlerweile gilt die Sicherheitslücke als geschlossen, jedoch kann diese ganz leicht wieder auf dem Mac aktiviert werden indem man OS X 10.5, 10.6 oder 10.7 neu installiert. Abhilfe schafft hier die Installation von „Java für Mac OS X 2012-01“ oder die Installation der aktuellen Version von Oracle.

2014

Der Trojaner „OSX.LaoShu“ kam als erster seiner Art  mit gültiger Apple Zertifizierung auf den Markt. Nacht aktivierung konnte der Trojaner weitere Schadsoftware über einen Server laden und auf dem Mac als „Vertrauenswürdig“ installieren. Mittlerweile wurde das Zertifikat zurückgezogen.

Backdoor.OSX.iWorm.c“ wurde über eine bekannte Tauschbörse verteilt. Der Trojaner tarnte sich als Crack für Adobe, Microsoft oder Parallels Produkte. Nach Ausführung entpackte sich die Software auf dem Rechner und forderte Administratoren Rechte ein. Der Trojaner war auf PowerPC und Intel ausführbar.

Palo Alto Networks entdeckt die Malware „WireLuker“. „Die Malware beschreibt eine neue Ära“ – so Palo Alto Networks.
Einmal infiziert kann „WireLuker“ auch alle anderen angeschlossenen Geräte auf iOS Basis infizieren. Insgesamt hat „WireLuker“ 467 Apps im chinesischen App Store und damit bis zu 400.000 Geräte infiziert. Der Prozess ist Simple: Man downloaded über Macintosh oder das Windows basierende Gerät eine App. Nach Ausführung scannt die App alle angeschlossenen Geräte und filtert die iOS basierenden Geräte raus und installiert sofort danach Malware auf dem Gerät. Mittlerweile soll die Sicherheitslücke, laut Apple, in den iOS Geräten geschlossen sein.

2015

RootPipe“ wurde durch den Sicherheitsforscher Emil Kvarnhammar bekannt. Kvarnhammer entdeckte eine Nutzbare Sicherheitslücke in (wohlmöglich) allen OS X Systemen die man aktiv ausnutzen könnte. Laut Kvarnhammer ist es möglich ein Terminal zu nutzen um Root Befehle ohne Passworteingabe auszuführen. Apple hat dazu einen Sicherheitspatch für Yosemite veröffentlicht – allerdings scheint die Sicherheitslücke damit noch nicht geschlossen.

Pedro Vilaça entdeckt schwerwiegende Sicherheitslücke in EFI, die 2015er Geräte seien davon nicht betroffen. Ein mögliches Szenario, adaptiert von Macwelt, wäre z.B. einen Nutzer über Safari auf eine infizierte Webseite zu schicken. Diese downloaded eine Datei die auf den nächsten Ruhezustand wartet, oder gar selbst einen Ruhezustand auslöst, um durch die Sicherheitslücke kontrolle über das EFI zu übernehmen. Nun sind es wohl nur noch wenige Schritte um Administratorenzugriff auf OS X zu bekommen.
Laut Macwelt sei diese Lücke allerdings keine Grundlage für einen Trojaner, den „für jedes anfällige Mac-Modell benötigt es eine eigene Trojaner-Version, da die EFI-Software für jedes Modell angepasst ist“.

Virenschutz nun Sinnvoll?

Wie man sieht gibt es für Macs durchaus einige Viren. Allerdings sind die meisten nicht schwerwiegend oder schon lange durch Apple beseitigt worden. 
Trotzdem benötigt man kein Virenschutz für Mac – aber wieso? Nun ja Apple bietet mit Hauseigenen Schutzsystemen sehr viel Möglichkeiten, einen potentiellen Angriff zu verhindern. 

Unteranderem zählt dazu die, seit OS X 10.7, eingeführte Software GateKeeper. Außerdem natürlich auch Xprotect oder den Mac App Store. Letzteres ist die vertrauenswürdige Quelle von Apple. Dort bekommt man nur Software (Apps) die auch die harten Anforderungen von Apple bestanden haben. Meistens bekommt man diese sogar kostenlos. Außerdem sind Updates garantiert.

Wen du dir nun immer noch nicht absolut sicher bist oder sagst „ohne Virenschutz geht gar nichts“, dann habe ich für dich noch einmal ein paar Tipps zusammen gefasst:

  1.  Keine Software oder Erweiterungen (Plugins) aus nicht vertrauenswürdigen Quellen!
 Eine vertrauenswürdige Quelle ist z.B. der Mac App Store oder natürlich die Herstellerseite direkt.
  2. Nicht alles ist Gold was glänzt. Manche Links im Internet sind nur dazu da Mal- oder Spyware auf deinen Rechner zu schleusen. Deswegen überleg dir ruhig zweimal ob du das Auto als gratis Gewinn haben möchtest – vermutlich kriegst du gleich noch Malware mit dazu.
  3. Java, Flash oder Shockwave sollte immer auf dem neusten Stand sein. Immer wieder nutzen Cracker Sicherheitslücken in einer der genannten Plugins aus. Jedoch reagieren die Hersteller meistens schnell und veröffentlichen ein Update.
  4. Solltest du Java, Flash oder Shockwave nicht benötigen, dann installiere es auch nicht. Google Chrome unterstützt mittlerweile den HTML5 Player von Youtube.
  5. Erstelle dir einen zweiten Standard Account auf deinem OS X. Die meiste Schadsoftware kann dort nicht ausgeführt werden, weil diese zwingend ein Administratoren Konto voraussetzen.
    Nach der Softwareinstallation merkt man eigentlich gar nicht mehr das man kein Administrator mehr ist. Es lohnt sich!
  6. Bedenke: Es gibt keine absolute Sicherheit. Die absolute Sicherheit kommt nur dann auf wen du keinen Computer besitzt. Zumindest bist du dann IT-Mäßig geschützt. *schmunzel*
  7. FileVault verschlüsselt deine Festplatte und kann nur durch Passworteingabe entschlüsselt werden. Besonders wen vertrauliche Daten auf dem Mac sind dann solltest du dich darüber mal einlesen.
  8. Deaktiviere die automatische Anmeldung. Damit kannst du ausschließen das unbefugte dritte dein Mac benutzen.

Chronologische Anordnung der Viren

Keine Kommentare

Weitere Kommentare sind auf diesem Blog nicht mehr möglich.