Mac Defender/Mac Protector/Mac Security: Scareware für Mac

Mac Defender

Mac Defender/Mac Protector/Mac Security: Scareware für Mac

Schon seit Jahren ist offensichtlich, dass Safaris Standard-Einstellung „Sichere Dateien nach dem Laden öffnen“ ein potentielles Sicherheitsrisiko darstellt. Nun ist die passende Malware dazu aufgetaucht: MAC Defender.

MAC Defender oder OSX/MacDefender.A (wie Intego die Malware taufte) ist ein Schädling vom Typ Scareware. Sie täuscht die Anwesenheit anderer Schadprogramme vor und leitet den Anwender zu einer Website, wo er die Software kostenpflichtig durch Eingabe seiner Kreditkartendaten (natürlich) aktivieren soll. In den Apple Support Communities kommen tatsächlich einige Benutzer zu Wort, die von MACDefender überzeugt wurden, ihre Kreditkartendaten preiszugeben.

Wie kommt diese Malware auf den Mac? Durch manipulierte WebSites, die Safari ein Java-Script unterschieben, das unbemerkt eine ZIP-Datei namens „anti-malware.zip“ lädt. Ist Safari nun (wie im Auslieferungszustand) so eingestellt, dass „Sichere Dateien nach dem Laden geöffnet“ werden, dann wird diese ZIP-Datei automatisch entpackt … und startet das darin enthaltene Installationsprogramm von MAC Defender. Wie üblich wird dann nach einem Administrator-Passwort gefragt, ohne das sich auf dem Mac kein Programm installieren lässt.

MAC Defender ist professionell gemacht und zeigt nicht (wie einige andere der wenigen Schädlinge für OS X) die üblichen Grammatik- und Rechtschreibfehler. Die Optik stimmt, das Programm zeigt eine ganze Reihe von wechselnden Ansichten; wenn sich die Masche von MAC Defender bewährt (d.h. Geld in die Kassen der Malware-Autoren spült), dann werden ziemlich sicher weitere Varianten folgen. MAC Defender zeigt beim Betrieb gelegentlich den Fund angeblicher OS X-Schadsoftware an und öffnet regelmäßig Porno-WebSites … um die Anwesenheit von Malware wohl glaubwürdiger zu machen.

Wir haben in unserer Sammlung der Mac-Viren für OS X und OS 6-9 die wesentlichen Informationen über MAC Defender zusammengestellt. Intego zeigt in seinem Blog einerseits detailliertere Informationen und Screenshots von MAC Defender, empfiehlt aber pikanterweise, diese kostenpflichtige vorgebliche Virenschutzssoftware mit Integos eigener kostenpflichtiger Virenschutzsoftware VirusBarrier zu entfernen. Ein Schelm, wer Böses dabei denkt.

Es gibt ein paar grundlegende Regeln, um die Installation solcher Malware zu verhindern:

  • Safaris Standard-Einstellung „Sichere Dateien nach dem Laden öffnen“ deaktivieren
  • nicht als Administrator arbeiten, sondern nur als Standard-User
  • erst denken, dann klicken (zumindest vor Preisgabe des Admin-Passworts 🙂
  • regelmäßig Apples Softwareaktualisierung durchführen
  • Virenschutz installieren – z.B. ClamXav oder Sophos Anti-Virus (beide kostenlos) oder avast!, Kasperskys Anti-Virus für Mac, Nortons Anti-Virus, VirusBarrier, etc.
  • Java-Script in Safari deaktivieren

Anmerkung:
OSX/MacDefender.A ist kein Virus. Es verbreitet sich nicht selbständig oder unbemerkt weiter, beschädigt oder löscht keine Dateien. Diese Malware wird korrekt klassifiziert als Scareware, die Verbreitung erfolgt als Java-Script.

Update 9.5.2011:
Die Schadsoftware „Mac Defender“ tritt mittlerweile auch unter dem Namen „Mac Protector“ und „Mac Security“ auf. Funktionsweise und Erscheinungsbild der Software sind identisch, die Deinstallation erfolgt ebenso:

  • mit dem Programm „Aktivitätsanzeige“(Dienstprogramme/Aktivitätsanzeige) nach dem leufenden Prozess „Mac Defender“ suchen und sofort beenden
  • das Programm /Applications/Mac Defender löschen
  • in Systemeinstellungen/Benutzer die benutzerspezifischen Anmeldeobjekte durchsuchen und dort den Eintrag „Mac Defender“ entfernen
  • in /Library/LaunchAgents, /Library/LaunchDaemons, /Library/StartupItems (= Library auf oberster Festplatten-Ebene) und in ~/Library/LaunchAgents, ~/Library/LaunchDaemons, ~/Library/StartupItems (=Library des jeweiligen Benutzers) nach Dateien oder Ordnern von „Mac Defender“ suchen und ggf. entfernen
  • mit Spotlight nach weiteren Objekten suchen, die „Mac Defender“ heißen und ggf. entfernen

Und last not least: den eigentlichen Grund der Sicherheitslücke beseitigen: in den Einstellungen von Safari die Checkbox „Sichere Dateien nach dem Laden“ deaktivieren!

Update 1.6.2011
Apple ergänzt mit dem Sicherheitsupdate 2011-003 die in Snow Leopard enthaltene Malware-Liste um zwei Einträge für die Scareware Mac-Defender und pfüft täglich Apples Server zur eigenen Aktualisierung zum Schutz vor zukünftiger Schadsoftware. In den Systemeinstellungen/Sicherheit wird dies sichtbar mit der neuen Checkbox „Automatisch Liste mit sicheren Downloads aktualisieren“.


1 Comment
  • Janine & Harald
    Posted at 09:07h, 14 Mai

    Liebes Apfelwerk,

    besten Dank für die glasklaren Anweisungen. Wir haben erfolgreich Mac Protector bekämpft.
    J & H