51 „Viren“ für Mac OS X

Viren für Mac

51 „Viren“ für Mac OS X

Welche Viren gibt es für Mac OS X? Der Mac Malware Guide von The Safe Mac listet im November 2014 in seinem Mac Malware Catalog genau 51 Schadsoftware-Versionen für Mac auf. Das sind lächerlich wenige im Vergleich zu den zeitglich bekannten Viren für Windows – deren Zahl liegt um den Faktor 100.000 bis 1.000.000 mal höher.

„Viren“ sind in The Safe Macs Liste aller bekannten Schadprogramme übrigens nicht dabei – keines der aufgelisteten Schadprogramme agiert im Sinne eines klassischen Virus, der sich selbst installiert und selbständig weiterverbreitet. In der Liste finden sich einige harmlose Malware-Konzepte, die von Sophos, Symantec, Intego & Co. zu echten Bedrohungen umgedeutet wurden. Obendrein wurde manche der Schadsoftware von Virenschutzsoftware-Herstellern frei erfunden.

Der Mac Malware Guide von The Safe Mac ist deshalb einen genaueren Blick wert.

1990

Die Geschichte der Mac Malware beginnt in den 1990ern mit Word Makro Viren – lange vor der Veröffentlichung von OS X 10.0 am 24. März 2001. Diese „Viren“ gibt es bis heute in Microsoft Offices Makro-Funktionen. Nicht umsonst warnt Microsoft Office für Mac seit der Version 2004 beim Öffnen einer Word- oder Excel-Datei vor der Aktivierung der enthaltenen Makros. Selbst verbreitend sind diese Makro Viren nicht – aber Microsofts Makro-Funktionen können im System allerlei Schaden anrichten. Für Word und Excel gelten: wenn Ihnen die Quelle der Datei nicht bekannt ist, dann sollten Sie die Makro-Funktionen beim Öffnen der Datei deaktivieren.

2004

MW2004: die erste Umdeutung eines „Proof of Concept“ in eine echte Bedrohung. „AS.MW2004.Trojan“, wie Intego den Vorfall nannte, ist ein 108 kB großes kompiliertes AppleScript-Applet, dessen Icon an den Web-Installer von Microsoft Office 2004 für Mac OS X erinnert. Sobald ein Nutzer die Datei anklickt, wird der komplette Home-Order gelöscht. Dabei wird auch die betreffende Datei „MW2004“ gelöscht. Es handelt sich hier nicht um einen echten Trojaner, sondern lediglich um eine Studie, die sich weder selbst verbreitet noch in freier Wildbahn angetroffen wurde.

Renepo. Wie bei einigen später folgenden Schadprogramme für Mac gab es nur eine ausgesprochen geringe Gefährung, da Renepo nicht via Internet verbreitet wurde und der Angreifer physischen Zugang zum Computer benötigte. Also auch kein Virus. Wenn jemand physischen Zugang zu Ihrem Computer hat, dann haben Sie sowieso ein viel größeres Problem.

2005

Cowhand: Blamage für Sophos. Nur Sophos berichtete damals über Cowhand; kein anderer Virenschutz-Hersteller hat sich diese Peinlichkeit erlaubt. Cowhand würde sich angeblich im Ordner „Preferences“ und „Startup Items“ einnisten. Cowhand-A erlaube Hackern, den infizierten Computer als Proxy für Internet-Verbindungen zu nutzen, um die tatsächliche IP des Hackers zu verschleiern. Sophos ruderte später zurück: Bei diesem Mac-Trojaner handle es sich „eher um einen ‚Proof of Concept‘, der bisher nur einmal gemeldet wurde“, so Pressesprecher Christoph Hardy gegenüber macnews.de. Außerdem schien der Trojaner nicht ausführbar zu sein, „beziehungsweise er funktioniert nicht“.
www.fscklog.com schrieb schon Tage später treffend: „Sophos Kunden können übrigens beruhigt sein: sie werden schon seit vergangenem Freitag (22.4.2005) vor dem (nicht funktionsfähigen) Trojaner geschützt. Man will ja wissen, wo man sein Geld für ausgegeben hat.“

2006

Am 30. Juni 2006 meldete Symantec den Trojaner „OSX.Exploit.Launchd“. Die „Entdeckung“ dieser Sicherheitslücke geht auf die Veröffentlichung von Mac OS X 10.4.7 zurück, das eine potentielle Lücke im Prozess launchd schließt. Diese Lücke wurde einen Tag nach Veröffentlichung des Updates 10.4.7 durch securityfocus.com dokumentiert und von Symantec umgehend in einen „Trojaner“ umgewandelt. Wohlgemerkt: nach dem Security-Update. Symantec hatte von Sophos gelernt: Wenn es schon keine Mac-Malware gibt, dann stricken wir uns eben selbst welche. Klappern gehört ja zum Geschäft. Aber nicht genug, dass hier ein Trojaner erfunden wurde, der nie existierte. Symantec verschwieg zudem, dass das Update Mac OS X 10.4.7 diese potentielle Lücke geschlossen hatte und gab stattdessen zunächst wilde Tipps zum Patchen der Lücke à la „Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files“ und „Turn off and remove unneeded services.“

Leap alias OSX.Leap.A, alias Oompa Loompa war ein Instant-Messaging-Wurm (IM-Wurm) und in der Lage, auch Mac OS X-Applikationen zu infizieren. Ein Softwarefehler im Malware-Code führt jedoch dazu, dass die Programme nach der Infektion nicht mehr funktionieren. Der Wurm wurde am 13.2.2006 zuerst in MacRumors verbreitet. Die Originalnachricht lautete „angebliche Screenshots von OS 10.5 Leopard“ – Leap war jedoch kein Bild, sondern ein als Bild-Datei getarntes Programm. Ein offensichtlicher Versuch, mittels Social Engineering-Methoden arglose Nutzer zu veranlassen, den schädlichen Code auszuführen. OSX.Leap.A und OSX/Inqtana.A werden von Intego als Virus bezeichnet. Apple spricht dagegen nicht von einem Wurm, sondern von „schädlicher Software“, die voraussetzt, „dass der Anwender die Applikation downloaded und die resultierende Datei ausführt.“

Ein weiteres Proof of Concept: InqTana verbreitete sich über Bluetooth und vermehrte sich durch Versenden eines Requests zum Datentransfer mit der Bezeichnung „Object Exchange (OBEX) Push“ an Geräte potentieller Opfer. Kam der Nutzer der Aufforderung nach, so machte sich der Wurm ein Sicherheitsleck in der Bluetooth-Datei und der Object-Exchange-Directory-Traversal zunutze, um Zugang zu Bereichen außerhalb der Bluetooth-Datei und des Object-Exchange-Servicepfads zu erhalten. Später wurde bekannt, dass Inqtana vom Sicherheitsexperten Kevin Finisterre als Beweis für die Wirksamkeit seines Konzepts geschrieben worden war.

Von den Würmern Leap und InqTana ging keine echte Bedrohung aus, da sie sich weder erfolgreich selbst verbreiteten noch Schaden anrichten. Außerdem hat sich Inqtane laut seinem Programm-Code am 24.02.2006 selbst deaktiviert. Nur Mac OS X 10.4.0 war betroffen, die Sicherheitslücke wurde durch das Update auf OS X 10.4.1 am 8.6.2006 geschlossen.

Macarena. Wieder ein Proof-of-Concept, von Symantec am 2.11.2006 als „Virus“ gemeldet. Geringes Infektionsrisiko, nie in freier Wildbahn gesichtet. Macarena bestand aus Source-Code und einer Anleitung zum Kompilieren – das bedeutete, dass der Anwender den Code selbst kompilieren und ausführen sollte im vollen Bewusstsein, dass er Schaden anrichtet. Macarena tat dann nichts anderes als sich selbst zu kopieren – nur um zu demonstrieren, dass solche Dinge auf einem Mac möglich sind.

2007

RSPlug alias DNSChanger, alias Jahlav, alias Puper. Dieser Schädling tauchte zunächst auf Porno-Seiten auf und gaukelte einen „fehlenden Video-Codec“ vor, der vorgeblich benötigt wird, um ein Video anzuzeigen. Dieses „Plugin“ war aber tatsächlich in Trojaner, der die DNS-Einträge des Computers ändert, um auf gefälschte Versionen von Banken, Ebay und anderen WebSites umzuleiten. Die Absicht der Malware-Autoren war, Zugangsdaten und Passwörter zu stehlen, um damit Geld zu machen. Typisch an diesem Trojaner war, dass der Benutzer eine Menge Mithilfe zeigen musste, um sich zu infizieren:
– Besuch von Porno-Seiten und Laden von Porno-Movies
– Vertrauen in die Meldung zur Installation eines „fehlenden Video ActiveX Objects“
– Download des infizierten Disk-Images
– Installation des Disk-Images mit Eingabe eines Administrator-Passworts
Man könnte auch sagen: Wer sich dieses Ding einfängt, ist selbst schuld. Im Juni 2012 schließlich wurde die Bande hinter dieser Schadsoftware festgenommen. Seitdem stufen verschiedene Hersteller von Virenschutzsoftware die Gefährung durch RSPlug/DNSChanger/Jahlav/Puper als „medium“ ein. Ein Schelm, wer Böses dabei denkt.

2008

Die Erfindung von Amphinix-A. Die Firma Intego warnte 2008 vor diesem so genannten „Trojaner“ für OS X, den sie als „the first Trojan horse that affects Mac OS X“ einstufen. Es handelt sich hierbei um einen Proof-of-Concept, d.h. eine harmlose Demonstration. Alle Schäden, die Intego in seiner der Pressemitteilung erwähnte, waren lediglich theoretischer Natur und wurden von dieser Trojaner-Demo nicht verursacht. Amphinix-A ist nie in freier Wildbahn aufgetaucht. Es handelte sich um eine Demonstration, die nur als Carbon-Programm (max. OS X 10.5) und nur theoretisch funktionierte.

Lamzev alias Malev. Wieder einmal nicht wirkliche Malware. Lamzev ist ein Hacker-Werkzeug, das zwar eine BackDoor ins System einbauen kann. Zur Aktivierung ist es jedoch notwendig, dass der Hacker physischen Zugang zum System hat, die Software herunterlädet und mit einem Admin-Passwort aktiviert. Dieser Umstand wäre wiederum ein deutlich ernsteres Problem als das Werkzeug selbst.

2009

Tored. Intego berichtete von einem neuen Wurm namens OSX/Tored-A, der sich über die E-Mail-Adressen des Adressbuches verbreiten soll. Der Trojaner scheitert aber an einem enthaltenen Fehler im RealBasic-Code – er funktioniert nicht wie beabsichtigt. Zudem versucht der Traner  sich über einen nicht existenten SMTP-Server zu versenden. Obendrein hat er sogar eine Nachricht parat, falls er einmal versehentlich auf einem Windows-Rechner landen sollte:

  For Mac OS X ! :(If you are not on Mac please transfer this mail to a Mac and sorry for our fault :)

Sophos urteilt deshalb auch, dass eine Verbreitung dieses Trojaners sehr unwahrscheinlich sei und stuft die Gefährung als sehr gering ein. Intego dagegen stuft diesen miesen Versuch eines Trojaners als „novel approach to malware“ ein und wirbt sogleich damit, dass es in seinem aktuellen Produkt für Mac eine „neue Malware-Klasse“ eingebaut habe.

2010

HellRTS, alias Pinhead, alias Hellraiser. OSX/HellRTS.D soll eine Variante eines bereits 2004 aufgetretenen Schädlings sein. Integos Beschreibung der Fähigkeiten listet allerlei Gemeinheiten auf; u.a. sei HellRTS in der Lage, im infizierten Mac einen eigenen Mailserver zu aktivieren, Dienste wie z.B. Screen Sharing zu aktivieren, sich selbst in verschiedene Dateien zu verstecken und vieles mehr. Andererseits erfordere der Schädling lt. Intego eine „Installation“ – was nichts anderes heißt, als:
– HellRTS verbreitet sich nicht selbst, sondern erfordert den Download des infizierten Disk-Images (iLife 09, Office 2008, iPhoto)
– die Aktivierung erfordert ein Admin-Passwort

2011

MacDefender alias MacSecurity, MacProtector, MacGuard, MacShield, Defma. MacDefender ist ein Trojaner, der sich als Virenschutzprogramm tarnt – als Download angeboten von gefälschten Anti-Virus-WebSites, die dem Besucher eine angebliche Infektion durch Malware anzeigen. Die betreffenden WebSite wurden dafür mit einem Java-Script geimpft – z.B. durch eine Sicherheitslücke in einer nicht gepflegten WordPress-Installation. Mit dem Klick auf der gefälschten Anti-Virus-Seite lädt man sich den Installer von MacDefener. Wenn die Safari-Einstellung „Sichere“ Dateien nach dem Laden öffnen aktiviert ist, startet der Installations-Prozess, aber er benötigt das Kennwort des Benutzers.

sichere_dateien_nach_dem_laden_oeffnen

Wer mit Safari surft, sollte diese Einstellung also sofort deaktivieren. Einmal installiert, beginnt der Trojaner Porno-WebSites zu öffnen, um damit eindrucksvoll vorzutäuschen, dass der Mac von einem Virus befallen wäre und man Geld ausgeben müsse für die kostenpflichtige Vollversion der Software. Das muss man sich mal auf der Zunge zergehen lassen: ein installierter Trojaner täuscht die Infektion durch einen Virus vor, damit der Benutzer die kostenpflichtige Version der Scareware kauft. Das klingt nach dem Geschäftsprinzip von MacKeeper, hat aber außer der Namensähnlichkeit und der ScareWare-Strateigie nichts miteinander zu tun. Weitere Details zu Macdefender sind bei The Safe Mac zu finden.

Schon kurze Zeit nach Auftreten von MacDefender erkannte Apples Anti Malware-System zahlreiche Varianten von MacDefender. Ende August 2011 wurde dann die Kreditkartenbande hinter Macdefender in einem russischen Gefängnis festgesetzt. Seitdem tauchten keine weiteren Varianten auf.

2012

Der Paukenschlag: Flashback. Durch veraltete Java-Version in Mac OS X 10.5 wurden weltweit angeblich 550.000 Macs infiziert. Der Trojaner installierte sich durch ein Java-Exploit, das Apple am 3.4.2012 und 5.4.2012 durch die Java-Updates “Java für Mac OS X 2012-01″ und “Java für Mac OS X Lion 2012-02″ stopfte. Leider zu spät, denn die Sicherheitslücke war bereits zwei Monate bekannt.

Normalerweise wäre ein derartige Sicherheitslücke in Java kein großes Drama. Der Java-Entwickler Oracle hatte schon im Februar 2012 Abhilfe geschaffen, der Fix wurde mit einem Update für die Windows-Version von Java schon ausgeliefert. Das aber nützte OS X-Nutzern nichts, da Apple bis dahin eine eigene Java-Variante kompilierte. Bis die Oracle-Patches für OS X übernommen werden, konnte es daher schon mal ein mehrere Wochen dauern.

Die Programmierer von Flashback gaben ihre Schadsoftware als Aktualisierung des Adobe Flash Players aus, der zum Betrachten von Videos genutzt wird. Angebliche Updater für Adobes Flash Player sind auch heute noch eine beliebte Methode zur Verbreitung von Schadsoftware. Flash Player muss wegen seiner Sicherheitslücken ja ständig aktualisiert werden, da fällt ein weiteres Update eben kaum auf. Ob durch Flashback tatsächlich Passwörter oder Bankdaten abgegriffen oder andere Schaden angerichtet wurde, dazu gibt es bis heute keine Erkenntnisse. Die Zahl der infizierten Macs ging nach Veröffentlichung des Flashback Removal Security Updates für Mac OS X 10.5 und des Flashback malware removal Tools rasch zurück. Nebenbei: keine einzige der Virenschutzlösungen für Mac war in der Lage, Flashback zu erkennen und die Infektion zu verhindern.

flashback_infektionen_april_2012

Quelle: Kaspersky

Apple hat aus diesem Vorfall Konsequenzen gezogen: Java-Updates werden seitdem direkt von Oracle bezogen. Zusätzlich zu OS X Dateiquarantäne (seit 10.5 Leopard) und XProtect (Bestandteil von OS X seit Snow Leopard 10.6.0) ist seit OS X Lion 10.7.5  GateKeeper als weiterer Sicherheitsmechanismen in OS X enthalten.

2014

LaoShu ist ein Trojaner, der sich via gefläschter Zustellungsbenachrichtigungen per E-Mail verbreitete. Die Mail enthielt einen Link zu einer PDF-Datei, den der Empfänger anklicken sollte. Die PDF-Datei war indes ein Programm. Einmal installiert, durchsucht es das infizierte Mac OS X nach bestimmten Dateien und Dateitypen und ist in der Lage, sie auf einen entfernten Command+Control-Server zu übertragen. Auch das Nachladen und Ausführen weiteren Codes ist möglich. Interessant: LaoShu hat eine Software-Signatur und ist deshalb in der Lage, an Apples GateKeeper vorbeizukommen. Die Signatur aber ist auch LaoShus größte Schwachstelle: Nach der Entdeckung ist es nur eine Frage der Zeit, bis Apple das zur Signierung verwendete Entwickler-Zertifikat zurückzieht und damit LaoShus Signatur deaktiviert.

iWorm verbreitete sich Anfang Oktober 2014 vie PirateBay durch manipulierte Raubkopien von Adobe Photoshop, Adobe Illustrator, Microsoft Office und Parallels. Angeblich waren Anfang Oktober 18.000 Macs durch den „Mac.BackDoor.iWorm“ genannten Schädling infiziert. Der dazugehörige BotNet-Server wurde bereits gesperrt; auch Apple hat auf diesen Fall bereits reagiert und sein integriertes Anti-Viren-Tool Xprotect aktualisiert. Es hindert die Schadprogramme mittlerweile an der Ausführung.

WireLurker wurde Anfang November 2014 von Palo Alto Networks dokumentiert. Drei Dinge machen diesen neuen Schädling zu etwas Besonderem: er verbreitete sich über 467 verschiedene Raubkopien aus dem chinesischen Maiyadi App Store; er installiert sich auf OS X und iOS-Geräten; es existiert auch eine Windows-Ausführung, die es ebenso wie die Mac-Version auf iPhones und iPads abgesehen hat. Die Malware hat primär chinesische Nutzer im Visier, der Antiviren-Hersteller Kaspersky meldet allerdings „minimale Fallzahlen“ auch aus Kanada, Frankreich, Großbritannien, Hong Kong, Taiwan und den USA. Und Avast! blamiert sich auch mal wieder, weil es fälschlicherweise den Feed von The Safe Mac als Infektion von WireLurker meldet.

Avast-false-positive

Quelle: The Safe Mac

Schlussfolgerungen und Empfehlungen

Die Entwicklung seit 2004 zeigt, dass Schadsoftware für Mac professioneller wird. Dennoch ist die Gefährdung von Macs geradezu lächerlich gering im Vergleich zu Windows. Ein Virenschutzprogramm verbessert die Sicherheit Ihres Macs nicht – kein einziges Virenschutzprogramm für Mac konnte die Infektion durch Flashback oder iWorm verhindern. Glauben Sie nicht den Bedrohungsszenarien, die von Herstellern von Virenschutzprogrammen für Mac verbreitet werden. Das ist pure Geschäftemacherei. Ein aktuelles OS X 10.9 oder 10.10 ist mit den eingebauten Funktionen Gatekeeper, XProtect, Signierung von Apps und App-Sandboxing gut geschützt.

In den vielen Jahren unserer Tätigkeit als Apple Spezialisten haben wir aber nur eine Handvoll Macs gesehen, die durch einen der oben genannten Schädlinge infiziert wurden. Alle betroffenen Rechner hatten gemeinsam, dass entweder Flash oder Java veraltet waren, eine veraltete Version von OS X verwendet wurde oder Software-Raubkopien aus PirateBay oder anderen Torrent-Seiten installiert wurde. Ausnahmslos jeder der von uns vorgefunden OS X-Schädlinge wurde mit dem Admin-Kennwort des Benutzers installiert.

Statt Ihr Geld für weitgehend nutzlose Virenschutzprogramme aus dem Fenster zu werfen, sollten Sie besser einige einfache Regeln beachten:

  1. Installieren Sie nicht jeden Mist. Weder „fehlende Video-Plugins“ für Hardcore-Pornoseiten noch „kostenlose“ Raubkopien von Photoshop, Office oder gar iPhoto (das sowieso kostenlos zu haben ist).
  2. Wenn Sie Java, Flash, Shockwave und andere OS X-Plugins benutzen, dann sollten Sie sie auf dem aktuellsten Stand halten.
  3. Noch besser ist, auf Java, Flash, Shockwave & Co. ganz zu verzichten.
  4. Arbeiten sie nicht ständig mit einem Admin-Account und geben Sie nicht unüberlegt ihr Admin-Kennwort ein, wenn Sie irgendein Prozess dazu auffordert. Es ist sicherer, einen Standard-Account für Ihre tägliche Arbeit zu nutzen.
  5. Benutzen Sie die aktuellste Version von OS X, da deren eingebaute Sicherheit-Mechanismen besser sind.
  6. Virenschutzprogramme erhöhen Ihre Sicherheit nicht. Im Gegenteil: manche Schadsoftware für Mac tarnte sich als Virenschutzprogramm. Und die echten Virenschutzprogramme konnten noch nicht nachweisen, dass Sie die Sicherheit verbessern.
  7. Opimierungs-Programme machen Ihren Mac auch nicht schneller.
  8. Kein Betriebsystem ist absolut sicher. Auch Mac OS X nicht.
  9. Erst denken, dann klicken.
  10. Zum Nachlesen: unsere 10 Sicherheitstipps für Mac

Andererseits … wenn Sie gerne Hardcore-Pornovideos konsumieren, häufig Software-Raubkopien aus Tauschbörsen installieren und jederzeit ohne Nachdenken Ihr Admin-Kennwort eingeben, dann könne ein Virenschutz durchaus Ihre Sicherheit erhöhen.

6 Comments
  • thoby
    Posted at 14:12h, 26 Juni

    Der schlimmste Schädling für einen Mac sitzt immer zwischen Bildschirm und Stuhl.

  • Alex
    Posted at 23:34h, 17 Juni

    Ihr Mac OS könnte von (3) Porno-Viren befallen sein!
    Wenn Sie diese Viren nicht entfernen, könnten Ihre Systemdateien infiziert und Ihre Hardware beschädigt werden.
    OS-Version: OS X 10.10 Yosemite
    Ort: Berlin
    IP-Adresse: X.X.X.X
    Klicken Sie auf „Jetzt Entfernen“, um MacKeeper herunterzuladen und sofort eine vollständige Systemprüfung durchführen zu lassen!

    • Thomas Kemmer
      Posted at 06:38h, 18 Juni

      Das ist das „Werbekonzept“ der Scareware MacKeeper. Ihr Mac ist mit Sicherheit nicht von Viren befallen. Bitte lesen Sie unseren Beitrag „MacKeeper Test“ vom Juni 2014.

  • tom
    Posted at 23:25h, 28 Mai

    hallo nochmals,
    ich konnte den anhang auf virustotal scannen und habe folgendes ergebnis erhalten:
    F-Secure Trojan:W32/FakePDF.A 20150528
    Fortinet PDF/Fakedhl.A!tr 20150528
    GData PDF.Trojan-Downloader.FakeInvoice.G 20150528
    Kaspersky HEUR:Exploit.PDF.Generic 20150528
    Sophos Troj/PDFDown-J 20150528
    was sollte ich am besten tun?
    sind diese viren und trojaner schädlich für einen mac?
    ich würde mich sehr über hilfreiche auskunft freuen!
    danke,
    tom

  • tom
    Posted at 22:20h, 28 Mai

    hallo herr kemmer,
    können sie mir sagen, woran man erkennt, ob die pdf im anhang einen exploit hatte und ob ein scan mit clamx av es ans tageslicht bringt?
    ich bekam heute eine email, die eine sendung ankündigte und leider habe ich die angebliche pdf datei zu unüberlegt angeklickt, da ich dachte, der link führte mich zum tracking
    es tat sich nichts scheinbar aber das hat, wenn ich das richtig verstanden habe, erst mal nichts zu heißen, da sich hinter einer pdf ein schadprogramm öffnen kann
    vielen dank im voraus
    tom