Ne leute. ich kann euch verstehen, dass ihr gegen Norton seid ich bin nämlich auch dagegen, aber dieser Virus stammt nicht von Norton, sondern er ist wirklich eine Malware, getauft als Browser-Hijacker. Diese Schadware, verfügt über root Rechte, die der Betroffene ihn denke ich mal unwillkürlich gegeben hat, guckt ob ein Browser wie Firefox, Safari Chrom etc. geöffnet werden und leitet ein Befehl ein der in der Url stehenden searchmarquis.com. Die Schadware versucht einen unerfahrenen zu melden, dass er ab sofort durch beispielsweise einem Mac Update, eine andere "Suchmaschine" besitzt. Die Anfragen die das Opfer der Suchmaschine übergeben, werden an einem Server geschickt, es werden oftmals gefälschte Seiten angeben um jemanden zu phishen.
Ich denke um diese Malware löschen zu können sollte man allererstes den Terminal öffnen und mit ps -ax alle laufenden Programme untersuchen, am besten gibt man ps -ax |grep -v /System/Library, weil es sehr sehr unwahrscheinlich ist, dass die Malware unter /System/Library ausgeführt wird. Unbekannte Programme verfolgt man mit dem Pfad und löscht sie. Bei einem Verdacht auf Malware sollte man in erster Linie nicht die Aktivitätsanzeige oder "top" nutzen, da es Schadware merken kann und sich selbst beenden kann.
Damit schädliche Prozesse überhaupt laufen können, müssen sie beim Systemstart gestarten werden in fast allen Fällen ist launchd dafür Verantwortlich, die Malware könnte geladen in /Library/LaunchAgents /Library/LaunchDaemons /Library/StartupItems; sudo crontab -l bzw /etc/crontab (für crontab ist nicht launchd verantwortlich) sitzen wenns sie root Rechte besitzen, sie erhalten Pfade zu ausführbaren Dateien, diese umgehend löschen.
Ohne Root Rechte ~/Library/LaunchAgents System Events (Daemons gibt es nicht, da Daemone systemweit aktiv sind, bzw direkt starten nachdem der Mac startet und Agenten nur starten, sobald sich jemand eingeloggt hat.
Zudem wäre es sinnvoll, die ganze Festplatte mit dem Namen zu durchsuchen, um Rückstände zu beseitigen "sudo find / -iname "*schädliches\ Programm*" > ~/Desktop/find.txt" (* * gibt an das vor und hinter noch was stehen kann)
Um Dateien weiterzuleiten, wird eine Verbindung etabliert, man sollte im Hintergrund keine Programme laufen lassen und die Verbindungen überprüfen via "sudo lsof -i" bei IP Adressen "sudo lsof -i -n" Danach Programme identifizieren und am besten bei ipvoid.com auf der Blacklist untersuchen lassen.
Oftmals ist Schadware neugierig und untersucht gerne Dateien, um zu gucken wer gerade sehr danach strebt sollte man Dtrace mit ins Spiel nehmen "sudo opensnoop" Dtrace wird durch die SIP behindert, dass ist aber obsolet, da wir keine System Prozesse untersuchen wollen.
opensnoop gibt an, welche Datei aktiv danach strebt auf eine Datei zuzugreifen und zu untersuchen und ob es Ports öffnet.
Asnchließend kann man dann noch mit "sudo fs_usage" die komplette Festplatte durchsuchen, ob irgendein Prozess gerade was an der festplatte ließt oder schreibt"
Außerdem ein Virus ist nur dann ein Virus, wenn es andere ausführbare Dateien infiziert und die ausführbaren Dateien trotzdem lauffähig bleiben und der User es aber nicht merkt. Da aber von Grund aus Macs einfach wirklich immun gegen Viren sind liegt an der Kompilierung der höheren Programmiersprache in die Maschinensprache" testet es selber "file dein_exec_programm" Die Mach-O x86_64 (für 32Bit und 64Bit ausführbar). Dieser Code ist nicht einlesbar, das heißt schädlicher Code kann weder eingefügt werden, da es so nicht lauffähig ist noch verändert werden. Der Oberbegriff von Schadware lautet Malware
), im verlinkten Tutorial wird recht einfach nachvollziehbar vorgeführt wo man suchen muss um "alles" zu entfernen, zumindest sollten dann die Browser wieder funktionieren, weil die Funktionsfähigkeit des Hijackers sehr wahrscheinlich zerstört wurde.
