Wie kann auf einem Mac Malware gestartet werden?

[MathBraun]

Hallo Leute,

es kann sein, dass ich gerade ein kleines Problem habe. Ich war heute in einem Firmennetzwerk und habe wohl eine Word-Datei angeklickt (markiert, nicht mit Doppelklick aufgerufen), die einen Trojaner beinhaltet, der unter Windows die Dateien verschlüsselt und nur nach Zahlung von 500$ wieder freigibt. Nach dem anklicken passierten bei mir auf dem Rechner aber einige komische Sachen. So konnte ich z.B. kein Textedit und auch kein Sublime mehr starten. Nach einem Ab- und wieder Anmelden ging aber alles wieder.

Nun, ich habe nichts gegen Viren und Trojaner, die irgendwo bei mir auf der Platte ruhen, aber ich habe etwas dagegen, wenn diese bei mir im Arbeitsspeicher läuft. Deshalb wollte ich mal nachfragen, welche Möglichkeiten Programme haben, unter OS X automatisch beim Booten gestartet zu werden.

/Library/LaunchAgents, /Library/LaunchDaemons und ~/Library/LaunchAgents/habe ich bereits geprüft, da ist nichts verdächtiges drin.

 

[Retnueg]

lade dir das hier mal und überprüfe was kommt, alles andere ist Spekulation,

http://www.clamxav.com/index.php
nimm diese Software, KEINE andere , weil diese am besten am Mac läuft, alle anderen bekannten
Virenscanner bereiten nur noch zusätzliche Probleme

 

[maba_de]

Sophos läuft hervorrangend und dürfte Clamav überlegen sein.

 

[W aus D]

Virenscanner sind definitiv Unnötig aufm Mac.

 

[MathBraun]

Also ClamAV habe ich mal installiert. Er hat zwar ein paar Mails in meinem Postfach gefunden, allerdings nur ältere Sachen. Und ich bin mir zu 99,9% sicher, dass da mehr Mails mit Malware liegen. Selbst die Infizierte Datei hat ClamAV nicht finden können. Bei Virustotal wird die Datei auch nicht als Virus erkannt.

Auch ich bin der Meinung, dass ein AV Programm auf dem Mac unnötig ist, da auf einem Unix-Basierten System es nur begrenzt viele Möglichkeiten gibt, sich selbst zu starten. Und genau danach suche ich momentan. Drei Möglichkeiten habe ich im ersten Posting bereits genannt. Gibt es noch mehr?

 

[rechnerteam]

/Library/LaunchAgents, /Library/LaunchDaemons und ~/Library/LaunchAgents/habe ich bereits geprüft, da ist nichts verdächtiges drin. ______________ Drei Möglichkeiten habe ich im ersten Posting bereits genannt. Gibt es noch mehr?

Ja, System/Library/LaunchAgents, System/Library/LaunchDaemons und ein Blick in ~/Library/MailDownloads lohnt sich auch.

Auf Trojaner bzw. Spyware spezialisiert hat sich das Tool MacScan. Die Trial reicht, um die Problemdatei zu finden.

Ganz eindeutig ist die Einschätzung von Virustotal nicht. Da Sophos hier einen Trojaner erkannt hat, würde ich das drüberlaufen lassen.

 

[Waldschrahdt]

An solchen Dateien bin ich auch interessiert. Ich habe auch die genannten Ordner durchsucht, dazu gleich am Ende ein Beispiel. Zunächst aber muss ich feststellen, dass auf meinem Mac mit dem 10.9.3 kein Ordner mit System/Library usw. existiert. Die Launch… gibt es hier nur wie bei MathBraun.
So, nun aber zum Beispiel: Kann jemand von Euch mir dies zeilenweise kommentieren, so, dass ich mal weiß, was diese Zeilen bedeuten/machen? Das wäre mir eine große Hilfe beim Abbau von vielleicht übertriebener Sorge…

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Disabled</key>
<false/>
<key>GroupName</key>
<string>wheel</string>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>com.bjango.istatlocaldaemon</string>
<key>OnDemand</key>
<false/>
<key>Program</key>
<string>/Library/Application Support/HIER STEHT JETZT DER NAME EINES PROGRAMMS</string>
<key>RunAtLoad</key>
<true/>
<key>StartOnMount</key>
<false/>
<key>UserName</key>
<string>root</string>
</dict>
</plist>
#
Es fehlen leider die Tabs (bei copy+paste), wenn die für die Frage wichtig sind, dann bessere ich mit zig Leerstellen nach…

 

[Phrasenbieger]

habe wohl eine Word-Datei angeklickt (markiert, nicht mit Doppelklick aufgerufen), die einen Trojaner beinhaltet, der unter Windows die Dateien verschlüsselt und nur nach Zahlung von 500$ wieder freigibt. Nach dem anklicken passierten bei mir auf dem Rechner aber einige komische Sachen. So konnte ich z.B. kein Textedit und auch kein Sublime mehr starten. Nach einem Ab- und wieder Anmelden ging aber alles wieder.

Also wenn Du wirklich nur angeclickt hast und nicht gestartet, dann kann dadurch IMO auch nichts passiert sein.
.
Aber es könnte, wenn Du im fremden Netzwerk warst, auf anderem Wege etwas passiert sein. (Wenn Du einen PC hättest wäre das aber wahrscheinlicher. Ein Wurm oder so etwas.)

 

[alexserikow]

und was ist mit Genieo? Das ist doch auch Maleware, oder? Ich habe mir das Teil mal eingefangen auf meinem MBP mit Mavericks. Um auf Nummer sicher zu gehen habe ich dann die Partition gelöscht und Mavericks neu aufgespielt und ein TM-Backup weit vor dem Tag, an dem ich mir die Maleware eingefangen habe, eingespielt!

 

[geronimoTwo]

und was ist mit Genieo? Das ist doch auch Maleware, oder?

Malware ≠ Adware (Genieo)

Malware sind z.B. Schadprogramme wie Trojaner, die wie die OSX-Funktion Spotlight in Dateien auf deinen Mac unbemerkt nach Passwörtern oder Kreditkartendaten suchen und gefundenes dann per www an ihre Herrchen schicken. Doppelplusungut!

Adware Browser-Erweiterungen zeigen »nur« eigene Werbeschaltungen beim Aufruf bestimmter Webseiten an und versehen Text mit Werbelinks. Lästig!

 

[Leser]

Hallo

Ich klinke mich hier mal ein. Ich habe mit ClamXav meine Platte gescannt und der hat Genieo nicht gefunden.
Bin nur durch Zufall drauf gekommen, das ich "Den" hatte.
Mit welchem Program kann man denn solche Malware bzw. Adware auffinden?
Avast vielleicht.

VG

 

[Bozol]

AdwareMedic wäre ein Anfang.

 

[Waldschrahdt]

Jemand noch irgenwelche Erfahrungen mit AdwareMedic?

 

[geronimoTwo]

Ja, funktioniert.

 

[Waldschrahdt]

OK, installieren wir mal und dann …
Donate nicht vergessen!

 

[Leser]

Hallo

Gibt es denn irgendwelche Anhaltspunkte was eine bestimmte Software kann?
Woher kann man wissen, ob die Eine nun besser ist als die Andere?
Oder basiert das meistens auf persönliche Erfahrung.


VG

 

[doger]

Hallo

Gibt es denn irgendwelche Anhaltspunkte was eine bestimmte Software kann?
Woher kann man wissen, ob die Eine nun besser ist als die Andere?
Oder basiert das meistens auf persönliche Erfahrung.


VG

Direkte Anhaltspunkte gibt es nicht.
Allerdings testen die großen IT Verlage Jahr für Jahr die neuen Versionen der Virenscanner, das kann man schon mal als Anhaltspunkt nehmen, zum Teil auch die Mac Versionen.

Sonst gilt nur noch, sich in entsprechenden Foren umzuhören ob es mit dem einen oder anderen Produkt Probleme gibt und eben persönliche Präferenzen.

//doger

 

[KOJOTE]

AdwareMedic wäre ein Anfang.

AdwareMedic läuft aber nicht unter 10.6.8
Braucht mindestens 10.7

 

[Leser]

Hallo

Ja genau so denke ich auch. Leider findet man bei der Recherche immer Seiten, wo das eine oder andere total zerrissen wird. Letzten Endes bleibt wohl nur der Selbstversuch.(und gute Kenntnisse in Datensicherung)


VG

 

[Bozol]

AdwareMedic läuft aber nicht unter 10.6.8
Braucht mindestens 10.7

Dann muss er die Adware wie in Step 1b beschrieben manuell erkennen und entsorgen: Klick