S
SelonScience
Etwas wachsam bleiben kann nicht schaden, da sich jetzt ja langsam was ruehrt mit Videocodex, infizierten Webpages und trojanisierten (illegalen) Programmen (von Adobe, Apple). Kann nicht schaden.
Trojaner auf Mac erkennen und entfernen ?
- Ersteller A BATHING APE
- Erstellt am
Amsterdammer
Mitglied
- Dabei seit
- 15.05.2009
- Beiträge
- 48
- Reaktionspunkte
- 2
Guten Tag,
darf ich mich als ehemaliger eingefleischter, wachsamer Windows-Nutzer und Mac-Frischling (2 Wochen) mit einem Erfahrungsbericht zu Wort melden?
Was mir seit Jahren unter Windows 95, 98, XP nicht ein einziges mal gelungen ist, ist mir mit meinem neuen iMac/Leopard sofort nach einer Woche gelungen: einen Trojaner einfangen
Dieser Trojaner ist bereits am 20.7. 2008 hier im Forum beschrieben worden
https://www.macuser.de/forum/f65/geloeschter-dns-changer-380321
Selber schuld: was ich unter WIN nie gemacht hätte (einen unbekannten Videocodec installieren), habe ich unter Mac gemacht, da mich der download link dazu inspirierte ("Um dieses Video unter Mac abspielen zu können, installieren Sie bitte MacCinema") und ich von OS X keine Ahnung habe. Klar doch, machst'e, dachte ich mir, unter Mac sind in der Windoof beherrschten Internetwelt die codec's anders ...
Als ich das Video danach noch immer nicht abspielen konnte, war mir sofort klar: Junge, jetzt hast Du nach Jahrzehnten zum erstem mal so richtig in die Sche*** gepackt
Einen OS X-tauglichen AV Scanner habe ich auf die Schnelle nicht gefunden, also hab ich ohne Kenntnis der OS X-Eingeweide den Trojaner chirurgisch nach dieser Anleitung entfernt.
Ihr könnt Euch gerne über mich lustig machen, wer den Schaden hat, braucht ja für den Spott nicht zu sorgen, aber ich möchte gerne auf den Threadtitel zurückkommen, wie man einen Trojaner auf Mac erkennt und entfernt, denn: ich habe danach sowohl eine Trialversion von Sophos und die Free Version vom ClamXav hintereinander installiert. Beide als OS X tauglich befundenen Scanner mit aktuellen Definitionen erkennen im noch auf meinem System vorhandenen gedownloadeten Archiv für den Trojaner mit dem Namen "install.pkg" noch heute, 10 Monate nach dem Auftauchen des Trojaners, die darin enthaltene Malware nicht, trotz eingeschalteter Archivscan-Option. Dies beunruhigt mich sehr.
Edit: Eicar Archiv wird dagegen von beiden erkannt, also stimmt was nicht mit den Signaturen...
Und jetzt?
darf ich mich als ehemaliger eingefleischter, wachsamer Windows-Nutzer und Mac-Frischling (2 Wochen) mit einem Erfahrungsbericht zu Wort melden?
Was mir seit Jahren unter Windows 95, 98, XP nicht ein einziges mal gelungen ist, ist mir mit meinem neuen iMac/Leopard sofort nach einer Woche gelungen: einen Trojaner einfangen
Dieser Trojaner ist bereits am 20.7. 2008 hier im Forum beschrieben worden
https://www.macuser.de/forum/f65/geloeschter-dns-changer-380321
Selber schuld: was ich unter WIN nie gemacht hätte (einen unbekannten Videocodec installieren), habe ich unter Mac gemacht, da mich der download link dazu inspirierte ("Um dieses Video unter Mac abspielen zu können, installieren Sie bitte MacCinema") und ich von OS X keine Ahnung habe. Klar doch, machst'e, dachte ich mir, unter Mac sind in der Windoof beherrschten Internetwelt die codec's anders ...
Als ich das Video danach noch immer nicht abspielen konnte, war mir sofort klar: Junge, jetzt hast Du nach Jahrzehnten zum erstem mal so richtig in die Sche*** gepackt
Einen OS X-tauglichen AV Scanner habe ich auf die Schnelle nicht gefunden, also hab ich ohne Kenntnis der OS X-Eingeweide den Trojaner chirurgisch nach dieser Anleitung entfernt.
Ihr könnt Euch gerne über mich lustig machen, wer den Schaden hat, braucht ja für den Spott nicht zu sorgen, aber ich möchte gerne auf den Threadtitel zurückkommen, wie man einen Trojaner auf Mac erkennt und entfernt, denn: ich habe danach sowohl eine Trialversion von Sophos und die Free Version vom ClamXav hintereinander installiert. Beide als OS X tauglich befundenen Scanner mit aktuellen Definitionen erkennen im noch auf meinem System vorhandenen gedownloadeten Archiv für den Trojaner mit dem Namen "install.pkg" noch heute, 10 Monate nach dem Auftauchen des Trojaners, die darin enthaltene Malware nicht, trotz eingeschalteter Archivscan-Option. Dies beunruhigt mich sehr.
Edit: Eicar Archiv wird dagegen von beiden erkannt, also stimmt was nicht mit den Signaturen...
Und jetzt?
Zuletzt bearbeitet:
A BATHING APE
Aktives Mitglied
Thread Starter
- Dabei seit
- 15.12.2006
- Beiträge
- 493
- Reaktionspunkte
- 32
...
Amsterdammer
Mitglied
- Dabei seit
- 15.05.2009
- Beiträge
- 48
- Reaktionspunkte
- 2
Genau,...
da gibt es einige AV-Scanner, die auch für Mac kompatibel sind, aber das scheint nur das Programm zu sein. Nach meinem Test beschleicht mich das unheimliche Gefühl, das an solchen Mac-AV-Scanner die Datenbank für die Windows-Malware mit 500.000 Signaturen dranhängt, und die Signaturen für die spärliche Mac Malware nicht gepflegt werden.
Bleibt immer noch die Frage: wie erkennt und entfernt man einen Trojaner auf einem Mac? Sophos und ClamXav haben bei dem oben beschrieben Trojaner versagt. Solange ich nichts zahlen brauch (trial- und Freeware) kann ich gerne testen, das Installationspaket für den Trojaner befindet sich in meiner Time Maschine.
Gibt es eigentlich AV-Tests für Erkennungsrate von Mac Malware?
S
SelonScience
Has du beim Sophos auch Scan for mac Viruses eingeschaltet? Sophos hat ihn in ihrer Signatur:
http://www.sophos.com/security/analyses/viruses-and-spyware/osxrspluga.html
vielleicht wurde das trojan horse veraendert, welche seite war es denn, mit dem Trojan im Videocodec?
Ich wuerde es gerne auf meinem alten MBP mit Sophos guard testen, ob er es schon beim downloaden merkt (auch im diskreten Karton, per PM).
aber
Bei uns hat sophos erst email win viren erkennen muessen, kann dir also nichts zur Mac schaedling Erkenntnisrate sagen.
http://www.sophos.com/security/analyses/viruses-and-spyware/osxrspluga.html
vielleicht wurde das trojan horse veraendert, welche seite war es denn, mit dem Trojan im Videocodec?
Ich wuerde es gerne auf meinem alten MBP mit Sophos guard testen, ob er es schon beim downloaden merkt (auch im diskreten Karton, per PM).
aber
Bei uns hat sophos erst email win viren erkennen muessen, kann dir also nichts zur Mac schaedling Erkenntnisrate sagen.
Amsterdammer
Mitglied
- Dabei seit
- 15.05.2009
- Beiträge
- 48
- Reaktionspunkte
- 2
Vielen Dank für Dein Angebot, aber verstehe mich bitte, wenn ich keine Malwarelinks verschicken möchte. Die Seite mit dem Download-Angebot kann ich eh nicht mehr reproduzieren, dahinter standen zahlreiche redirects...
http://www.sophos.de/products/enterprise/endpoint/security-and-control/8.0/mac/
An den Menüs (z.B.: "Diesen Mac scannen") erkenne ich, daß diese Version offensichtlich nur für den Mac ist.
Nach dem heutigen update erkennt Sophos die Datei (mit einer am 30.4.09 upgedateten ausführbaren Linux Datei) als Virus 'OSX/RSPlug-F' und unterbindet den Zugriff auf die Datei. Das update-Datum der Signatur stammt vom 8. Mai
Meinen Vorwurf bzgl. der Signaturen nehme ich, was Sophos betrifft, hiermit zurück. ClamXav dagege erkennt bis heute weder das Archiv noch die (durch Sophos) extrahierten ausführbaren Dateien.
Diese Einstellunge finde ich nicht, es handelt sich um die 30-Tage Trialware-Sophos-Anti-Virus 7.0.1 (7.0.2) von hier
http://www.sophos.de/products/enterprise/endpoint/security-and-control/8.0/mac/
An den Menüs (z.B.: "Diesen Mac scannen") erkenne ich, daß diese Version offensichtlich nur für den Mac ist.
Nach dem heutigen update erkennt Sophos die Datei (mit einer am 30.4.09 upgedateten ausführbaren Linux Datei) als Virus 'OSX/RSPlug-F' und unterbindet den Zugriff auf die Datei. Das update-Datum der Signatur stammt vom 8. Mai
Meinen Vorwurf bzgl. der Signaturen nehme ich, was Sophos betrifft, hiermit zurück. ClamXav dagege erkennt bis heute weder das Archiv noch die (durch Sophos) extrahierten ausführbaren Dateien.
Zuletzt bearbeitet: