Wie erkenne ich, ob mein Mac einen Virus hat? (2021)

25 Jan Wie erkenne ich, ob mein Mac einen Virus hat? (2021)

Um die Antwort vorweg zu nehmen: man erkennt es nicht. Und wenn man etwas sieht, dann ist es keiner.

Unser Beitrag Wie erkenne ich, ob mein Mac einen Virus hat? von Dezember 2014 ist ganz klar der populärste Beitrag unseres Blogs. Es wird Zeit, hier einige Dinge klarzustellen und aktuelle Informationen zu ergänzen.

Lange her

Seit 2014 hat Apple viele weitere Sicherheitsmechanismen in seine Betriebsysteme eingebaut, die es den Verfassern von Schadsoftware noch schwerer machen, funktionsfähige Malware für OS X (oder macOS, wie es seit 2017 offiziell heißt) zu schreiben. OS X 10.11 El Capitan war 2014 bereits ausgestattet mit den Techniken Gatekeeper, FileVault, Sandboxing, Address Space Layout Randomization (ASLR). Mit den neuen Betriebsystemen macOS Sierra, High Sierra, Mojave, Catalina und Big Sur hielten weitere Sicherheitsmechanismen Einzug – zunächst benötigten seit macOS 10.12 Sierra Kernel-Extensions von Drittherstellern (KEXT) eine explizite Zustimmung, mit macOS 10.15 Catalina gab es ein nur-Lese-APFS-Volume und verschärfte System Integrity Protection (SIP), nur um ein paar davon zu nennen. Seit macOS 11.0 werden Kernel Extensions nicht mehr ohne Weiteres geladen, Apple fordert stattdessen auf, sie durch System Extensions zu ersetzen. Und seit macOS 11.0 Big Sur ist das durch APFS abgetrennte System-Volume kryptografisch signiert, so dass es vor Manipulationen geschützt ist.

Auf der Seite der Schadsoftware-Konzepte hat sich auch Einiges getan. Viele neue Proof of Concepts versuchten, die zwischenzeitlich entdeckten Lücken in macOS auszunutzen. Patrick Wardle listet (Stand Januar 2021) 131 Malware-Konzepte für macOS auf – aber er zählt auch uralte Exploits von 2004 mit, um diese Zahl zu erreichen. Stets wurden diese Schadsoftware-Testballone nicht nennenswert verbreitet, weil Apple zügig mit Sicherheitsupdates reagiert hat. Zwar hat sich Apple hat sich in den vergangenen Jahren nicht immer nur mit Ruhm bekleckert, aber diese 131 Malware-Konzepte sind einfach lächerlich im Vergleich zu den mehreren hunderttausend Windows-Viren, die täglich (!) vollautomatisiert verbreitet werden.

Nur bei der Anzahl der echten Viren für macOS hat sich nichts getan Die Anzahl der Viren für Mac ist immer noch: 0.
In Buchstaben: Null.

Aber wie erkenne ich, ob nicht vielleicht doch … ?

Zurück zur Ausgangsfrage. Wie erkennt man, ob ein Mac befallen ist von einem Virus, Trojaner, Wurm, etc.?

Bis auf eine Ausnahme gibt es nur eine Antwort: man kann es nicht erkennen *

Wenn der Mac sich seltsam verhält, wenn Störungen auftreten, wenn der Bildschirm flackert, wenn Dateien verschwinden … oder wenn der Browser den Nutzer anbrüllt, dass der Mac versucht sei … dann ist das alles Mögliche, aber mit 100%iger Sicherheit: kein Virus.

Wenn solche unerklärlichen Dinge auffallen, starten viele Mac-User Google, installieren sich womöglich eine nutzlose Virenschutzsoftware oder gar Malware wie CleanMyMac oder MacKeeper und finden vielleicht auch endlose, verbitterte geführte Diskussionen über die Gefährdung des Mac durch Viren & Co. Und mit der Installation von Virenschutzsoftware für Mac haben Sie sich erst die Probleme auf ihren Mac geholt – vielleicht weil Sie auf die Hersteller von Virenschutzlösungen hereingefallen sind, die durch den Aufbau eines angeblichen Bedrohungsszenarios erst ihren Markt geschaffen haben. Oder weil sie von den nimmermüden Schlaumeiern in den Foren davon überzeugt wurden, dass es um die Sicherheit des Macs ganz schlecht bestellt sei.

Wir können Sie beruhigen: keiner der selbsternannten Sicherheitsexperten in den Anwenderforen hat jemals schlüssige Beweise für die Existenz von Viren für Mac darlegen können. Meist verstummen sie ja schon, wenn man um einfache Nachweise bittet. Und kein Tester der „besten Virenschutzprogramme für Mac“ hat jemals offengelegt, mit welchen angeblich tausenden Schadsoftsignaturen für Mac er arbeitet.

Aber mein Browser sagt, da wär was!

Ihr Browser meldet, dass ihr Mac mit gaaanz vielen Viren verseucht sei und sie dringend den eingeblendeten Link anklicken müssten? Hallo? Seit wann können denn Safari, Firefox oder Chrome wissen, was auf ihrem Mac installiert ist? Glauben Sie etwa ihrem Bäcker, wenn er behauptet, bei Ihnen zu Hause müsse ganz dringend die Heizung modernisiert werden?

Wenn Sie etwas bemerken, dann ist es kein Virus

Wenn ihr Mac einen Virus haben sollte (an dieser Stelle sei nochmal die Bemerkung erlaubt: in den letzten 22 Jahren ist uns KEIN EINZIGER VIRUS für Mac untergekommen), dann wird dieser Virus alles daransetzen, unerkannt zu bleiben. Er wird nicht ihren Bildschirm flackern lassen. Er wird weder Dateien verschwinden lassen noch spontane Neustarts durchführen. Und ganz bestimmt keine dämlichen Meldungen des Browsers auslösen.

Ein Virus wird genau darauf achten, unbemerkt zu bleiben. Er wird keine erkennbare Zusatzlast verursachen. Er wird das Verhalten des Computers nicht beeinflussen. Eigentlich ein wunderbares Feld für Skeptiker und Verschwörungstheoretiker. Aber davon hatten wir 2020 auch so schon genug.

AdWare

AdWare verbiegt ihre Suchmaschine und blendet zusätzliche Werbung ein. Diese Software holt man sich meistens durch Installation von Programmen aus Downloadportalen wie Softonic, Chip, MacUpdate, etc. Über Affiliate-Mechanismen verdienen die Downloadportale dann wieder an der Werbung oder den verfälschten Suchergebnissen mit.

AdWare sind keine Schadprogamme im klassischen Sinn. Sie schöpfen keine Daten ab wie Backdoors, verbreiten sich nicht selbständig weiter (Viren), löschen oder verschlüsseln keine Daten (Trojaner). Die Definition ist da eindeutig – aber das hindert Virenschutzersteller wie Malwarebytes nicht, AdWare als Schadprogramme einzustufen, denn nur nach dieser Zählweise können diese Firmen behaupten, die Mac-Bedrohungen seien im Jahr 2019 um mehr als 400% gestiegen.

Typische Vertreter von AdWare sind Genieo, NewTab, MacKeeper, VSearch, Conduit. Diese Software ist mitunter schwierig wieder zu deinstallieren, wir haben schon vor einigen Jahren mehrfach darüber berichtet, z.B. hier und hier und hier. Im englischen Sprachraum hat sich seit einiger Zeit die Bezeichnung PUP (potential unwanted program) eingebürgert. Kein Kommentar.

Echte Gefahren für Macs

Es gibt im Wesentlichen fünf Dinge, die Sie unbedingt machen sollten, um die Sicherheit ihres Macs zu verbessern:

1. Halten Sie Kaffee von Ihrem Mac fern! Flüssigkeitsschäden sind ein sehr häufiger Grund für Totalausfälle am Mac, die Reparatur kann sehr kostspielig werden und Reparaturkosten übersteigen oft den Restwert der Hardware.
2. Machen Sie Updates. Es gibt einen quicklebendigen Markt für neue Sicherheitslücken. Updates stopfen regelmäßig bekannte Sicherheitslücken und Programmfehler. Es wäre Leichtsinn, die durch Updates kostenlos gestopften Sicherheitslücken weiter geöffnet zu lassen.
3. Machen Sie regelmäßig Datensicherungen. Durch Fehlbedienung und Versehen hat fast jeder Computerbenutzer schon mal Schaden angerichtet, aber nur ein Bruchteil der Betroffenen macht eine regelmäßige oder vollautomatische Datensicherung. Warum nur?
4. Installieren Sie keine „kostenlose“ Software von Downloadportalen.
5. Deinstallieren Sie Adobe Flash (seit Ende 2020 sowieso tot), Silverlight und Oracles Java, denn sie hinterlassen eine Fülle zusätzlicher Sicherheitslücken.

Was Sie bei Verdacht tun sollten

Wenn Sie feststellen, dass Ihr Mac seltsame Dinge tut, Störungen auftreten, Dateien verschwinden, dann sollten Sie diese Dinge tun:

Datensicherung prüfen
Wann war Ihre letzte Datensicherung? Ist sie vollständig? Falls nicht, dann sollten Sie die Störung zum Anlass nehmen, SOFORT ihre Daten zu sichern.

Ist die Festplatte voll?
Wenn weniger als 10% der Festplatte oder weniger als 10 GB Speicherplatz frei ist, sollten Sie Platz schaffen! Der Mac braucht nun mal ein wenig Spielraum für temporäre Dateien, Caches, versteckte Backups. macOS wird Sie ganz unmißverständlich darauf hinweisen, dass bei wenig verfügbarem Speicherplatz die Leistung des Macs leidet – übrigens bis zum bitteren Stillstand, wenn weniger als 1GB Plattenplatz frei sind.

Was haben Sie jüngst installiert?
Welche Änderungen haben Sie in den letzten Tagen vorgenommen, welche Programme installiert, welche Updates eingebaut? Fast immer kann man dadurch die Effekte erklären. Und wenn Sie zu denjenigen gehören, die gerne angeblich „kostenlose“ Software von Softonic, Chip und anderen Downloadportalen installieren, dann haben Sie vermutlich auch unwissentlich AdWare installiert, durch die sich diese Portale finanzieren. Wenn im Internet etwas kostenlos ist, dann ist eben der Kunde das Produkt.

Welche Systemlast gibt es aktuell?
Lassen Sie sich mit dem Dienstprogramm Aktivitätsanzeige die aktuelle CPU-Last anzeigen. Dieses Programm kann außerdem die Auslastung des Arbeitsspeichers (RAM) anzeigen und Sie darüber informieren, ob bei zuwenig verfügbarem RAM der Speicher auf die Festplatte ausgelagert wurde („swap“) – was den Mac ganz gehörig verlangsamt. Und wenn Sie in der von Aktivitätsanzeige.app gezeigten Liste der Prozesse welche entdecken, die rot markiert sind oder die dauerhaft mehr als 80% der CPU-Last belegen, dann sind Sie in den meisten Fällen fündig geworden.

Können Sie Programme beenden?
Wenn Sie den Unterschied zwischen Schließen eines Programmfensters und Beenden (Quit) eines Programms nicht kennen, dann seien Sie versichert: es gibt einen. Erst beim vollständigen Beenden (Quit) eines Programms wird wieder der Arbeitsspeicher (RAM) frei und der Mac kann dieses Kurzzeitgedächtnis für die Ausführung der anstehenden Aufgaben nutzen.

Prüfen Sie Safari und ihre Sicherheitseinstellungen
Stellen Sie sicher, dass diese Sicherheitseinstellungen in Safari am Mac aktiviert sind: „Warnen vor Sites mit betrügerischem Inhalt“  und „Pop-Ups blockieren“ (zu finden unter Safari-Einstellungen  > WebSites > (links unten) Pop-Up-Fenster – beim Besuchen anderer Websites Blockieren und Benachrichtigen). Prüfen Sie zusätzlich, welche Erweiterungen in Safari installiert sind : Einstellungen > Erweiterungen. Sie finden diese Tipps auch bei Apple: Pop-Ups in Safari auf dem Mac blockieren.

Ist die Standard-Suchmaschine Ihres Browsers geändert?
Installierte AdWare wie Genieo, KeRanger, Downlite, VSearch, Conduit, Trovi, MyBrand, Search Protect, InstallMac, MacVX Ads oder Mac Defender ändern meistens offensichtlich die Startseite ihres Browsers oder die Suchmaschine. Oft zeigt sich die Präsenz von AdWare auch dadurch, dass auf beliebigen WebSites zusätzliche Werbung eingeblendet wird. Obwohl AdWare keine Schadsoftware im klassischen Sinn sind, belastet AdWare oft das System oder verbiegt die Netzwerkeinstellungen. Wenn Sie den Verdacht haben, dass AdWare auf ihrem Mac sein könnte, dann empfehlen wir den kurzzeitigen Einsatz des kostenlosen Programms Malwarebytes for Mac, um AdWare zu entfernen.

Hinweis:
Malwarebytes für Mac nistet sich mit LaunchAgents und LaunchDaemons in Ihr System ein und ist nicht ganz einfach wieder zu entfernenb. Wir empfehlen den dauerhaften Einsatz von MalwareBytes NICHT.

* Ausnahme: Verschlüsselungstrojaner

Für Macs gibt es bis Anfang 2021 noch keine Verschlüsselungstrojaner – aber falls Sie an Ihrem Mac mal dieses Bild sehen sollten, dann haben Sie vielleicht den ersten davon:

Bislang gibt es das auf Mac noch nicht, aber in diesem Business wird seit Jahren sehr viel Geld verdient. Der Schaden in Deutschland wird auf jährlich mehrere hundert Millionen Euro geschätzt. Hinter diesen Trojanern steckt organisierte Kriminalität mit erheblichem IT-Knowhow. Falls sich eine Sicherheitslücke in macOS finden ließe, die solche Ransomware ermöglicht, dann werden solche Programme vermutlich zuerst auf veralteten und ungepatchten Versionen von OS X und macOS erscheinen.

Vielleicht arbeiten Sie auch mit Windows in Parallels auf ihrem Mac und verschlüsseln sich ihre Mac-Daten mit Ransomware für Windows? Wir haben schon zwei dieser Fälle gesehen und die von Parallels vorgeschlagene „komfortable Integration von Mac und Windows“ erscheint dadurch in einem ganz neuen Licht. Für die Betroffenen wäre der einzige Ausweg in diesem Fall die Verwendung von mehreren alternierenden und nicht dauerhaft angeschlossenen Datensicherungen.