Hallo
In Safari kann man in den Einstellungen unter "Allgemein" die Option "Sichere Dateien nach dem Öffnen laden" deaktivieren.
Wenn ich nun das Beispiel von Sheep downloade, wird es nicht mehr automatisch entpackt und die enthaltene falsche Bilddatei nicht geladen.
Ähnliche Einstellungen gibt es auch für die diversen anderen Webbrowser.
Um beim Beispiel von Sheep zu bleiben, da wird kein Passwort verlangt, weil es nichts macht, was ein Admin Passwort erfordern würde.
Wenn man Downloads immer auf dem Desktop speichern lässt und die von mir genannte Option deaktiviert hat, kann nichts geladen und ausgeführt werden.
Entpacke ich sheeps Beispieldatei manuell, wird die entpackte Datei nicht ausgeführt.
Schau ich mir die Beispieldatei von sheep vor dem Öffnen genau an (ctrl+klick Informationen), sehe ich dass es keine Bilddatei ist, sondern eine ausführbare Datei.
Hat man die Symbolvorschau aktiviert, ist es schon auffällig wenn das "Bild" keine hat.
Ich glaube wenn man das beachtet, zusätzlich noch unter Systemeinstellungen --> Sicherheit die Option "Kennwort verlangen für die Freigabe von geschützten Systemeinstellungen" aktiviert und nicht mehr alles ohne kurze Prüfung öffnet, kann man auf den Account ohne Admin Rechte verzichten.
Dennoch ist es zweifellos sicherer mit einem Account ohne Admin Rechte zu arbeiten.
Ergänzend erscheint mir der Tip bei Heise sinnvoll:
Als zusätzliche Maßnahme kann man durch geschickte Rechtevergabe verhindern, dass sich der Virus im Verzeichnis /InputManager festsetzen kann:
Legen Sie, falls noch nicht vorhanden, mit dem Programm Terminal das Verzeichnis /Library/InputManagers mit
sudo mkdir /Library/InputManagers
an. Übereignen Sie es mit
sudo chown root:wheel /Library/InputManagers
dem Super-User root und seiner Gruppe wheel. Mit
sudo chmod go-w /Library/InputManagers
stellen Sie sicher, dass nur root etwas hineinschreiben darf. Analog verfahren Sie mit ~/Library/InputManagers. Diese Änderungen beinträchtigen die Funktion bereits vorhandener InputManager nicht. Für diese Vorgehensweise müssen Sie als Administrator angemeldet sein, sudo verlangt außerdem nach einem gültigen Kennwort.
Hier noch eine ergänzende Möglichkeit die im Ambrosia Forum genannt wurde.
If the trojan adds an "apphook" file into /Library/InputManagers/ or
~/Library/InputManagers/
(depending upon whether one is logged in as Admin), would I be correct in thinking that if one did the following, the "apphook" would only be able to be installed with the user's knowledge?
1. If you don't have an InputManagers folder, create one
2. Then control click on the folder and select "enable folder actions"
3. Next, control click the InputManagers folder again and select "attach a folder action".
4. A window will open, click on "add - new item alert"
5. Click choose.
Habe es selbst probiert, so kann nichts in den Ordner /Library/InputManagers/ geschrieben oder darin gelöscht werden, ohne Root Rechte und Passwort.