Anti-Viren-Software für Mac OS X: Mehr Schaden als Nutzen?

Apfelwerk GmbH & Co. KG
Apple Support in Stuttgart
Bahnhofstraße 82
70806 Kornwestheim
Tel. +49 711 981495-40
www.apfelwerk.de

Apple Autorisierter Service Provider und Apple Consultants Network

Home
Werkstatt
Support
Training
Produkte
Über uns
Blog
Der folgende Artikel ist eine Übersetzung des Beitrags "Mac OS X anti-virus software: More trouble than it's worth?" von Gerry Brown, veröffentlicht am 11.5.2006 von MacFixit.com.



Mac OS X Anti-Viren-Software: Mehr Schaden als Nutzen?

In der Vergangenheit tauchten in Presse und Newsforen einige Berichte auf, die den Status von Mac OS X als virenfreie Plattform in Frage stellten und ein Bedrohungs-Szenario durch Malware (Viren, Würmer, Tronajer, etc.) aufbauten. In der Folge haben sich viele Anwender von Mac OS X nach Anti-Viren-Software erkundigt.

Bei McAfee oder Symantec wird man mit geradezu flehentlichen Empfehlungen konfrontiert, die zu Erwerb, Installation und regelmäßiger Benutzung von Anti-Viren-Software drängen. Die erschreckende Statistik à la "228 Prozent Zunahme der Malware-Angriffe in den vergangenen drei Jahren" wird von McAfee hier veröffentlicht - obwohl es bis heute keine einzige OS X-Malware geschafft hat, nennenswerten Schaden anzurichten oder sich auch nur zuverlässig zu verbreiten. Doch offensichtlich haben einige Anwender den Köder trotzdem geschluckt.

Was die Hersteller der Virenschutz-Software in ihrem Schwall von Pressemitteilungen und Publikationen zur steigenden Bedrohung jedoch verschweigen: bis heute wurde durch Anti-Viren-Software für Mac OS X mehr Probleme verursacht als behoben. Obwohl dieser Umstand den möglichen Nutzen eines installierten Virenschutzes nicht in Abrede stellt, sollte dies den zum Kauf von Anti-Viren-Software neigenden Anwendern zu denken geben.


Zunächst sollen hier die Probleme des recht weit verbreiteten Norton AntiVirus von Symantec beleuchtet werdent:

  • Ironischerweise wurde im Programm "Norton AntiVirus" selbst eine "hochkritische Sicherheitslücke" entdeckt. Das Problem ist ein Fehler im Umgang mit RAR-Archiven. Wird eine manipulierte Datei gescannt, lässt sich ein Pufferüberlauf (Heap-based Buffer Overflow) erzeugen. Dies kann durch einen Angreifer ausgenützt werden, indem er ein bösartiges RAR-Archiv erstellt und in die betroffene Umgebung einspielt. Wird nun ein solches RAR-Archiv durch den Symantec Antivirus gescannt, entsteht ein Heap-based Buffer Overflow, wodurch beliebiger Code ausgeführt werden kann. Symantec veröffentlichte am 20. Dezember 2005 via LiveUpdate eine Ergänzung der Virensignatur, die vor diesen Sicherheitslücke erkennt. Die Firma empfiehlt ausserdem, auf die Prüfung von komprimierten Dateien zu verzichten.

  • Norton AntiVirus 9.0 erstellt beim Überprüfen von komprimierten Archiven eine sehr große Datei namens "spacesuckingfile.xxxxxx", um sich genügend Speicherplatz vor dem Extrahieren der Archiv-Dateien zu sichern. Unglücklicherweise scheint die Datei nach einem erfolgreichen Scan aber nicht immer gelöscht zu werden, so dass die Festplatte überraschend schnell voll sein kann. So berichtete ein Anwender, dass diese Datei bei ihm zuletzt 175 GB groß war, als er den Verbrauch seines Festplattenplatzes analysierte. Symantec rät Anwendern auf Norton AntiVirus 9.0.1 zu aktualisieren.

  • Die AutoProtect-Komponente von Norton Antivirus erzeugte ein Problem durch offensichtliche Zerstörung von temporären Mac OS X-Dateien. Unter bestimmten Umständen stieg hierdurch die CPU-Last auf Maximum und führte dazu, dass das System auf keine anderen Eingaben mehr reagierte.

  • Symantec veröffentlicht weiterhin Sicherheitsprobleme, die keine sind. Am 30. Juni 2006 wird der Trojaner "OSX.Exploit.Launchd" gemeldet, der jedoch schlicht und einfach nicht existiert. Die "Entdeckung" dieser Sicherheitslücke geht auf die Veröffentlichung von Mac OS X 10.4.7 zurück, das eine potentielle Lücke im Prozess launchd schließt. Diese Lücke wurde einen Tag nach Veröffentlichung des Updates 10.4.7 durch seurityfocus.com dokumentiert und von Symantec umgehend in einen "Trojaner" umgewandelt.
    Damit nicht genug - Symantec verschweigt, dass das Update Mac OS X 10.4.7 diese potentielle Lücke schließt und gab stattdessen zunächst wilde Tipps zum Patchen der Lücke à la "Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files" und "Turn off and remove unneeded services."

  • Symantec veröffentlicht am 2.11.2006 eine Warnung vor dem Virus "OSX Macarena, ein Proof of Concept Virus. Gefahrenpotential: niedrig, Verbreitung: gering. Gemeldete Infektionen: 0-49. Entfernung: einfach"... nicht nur Arstechnica macht sich über Symantec lustig.

  • ... und weiter geht das Spiel: Heise Online berichtet, dass in mehreren Mac-Produkten von Symantec eine Sicherheitslücke entdeckt wurde. Diese ermöglicht durch den Ordner /Library/Application Support die Erlangung von root-Rechten, da die Mac-Produkte aus dem genannten Ordner entsprechende Programmbestandteile mit derartigen Rechten starten. Von der Sicherheitslücke sind die Version 9 und 10 von Norton AntiVirus, Version 10 von Symantec AntiVirus und Version 3 von Norton Internet Security betroffen. Symantec hat die Sicherheitslücke allerdings nicht geschlossen, sondern empfiehlt stattdessen Anwendern, nicht mehr die Option "Show Progress During Mount Scans" zu nutzen. Alternativ können Anwender auch nach jeder Reparatur der Zugriffsrechte diese modifizieren, indem sie als Admin den Terminal-Befehl sudo /bin/chmod +t "/Library/Application Support" ausführen.


Sophos Anti-Virus ist ebenfalls ein populäres Werkzeug, das bei dem Versuch, die Anwender zu "schützen", seinen eigenen Fehlern erlag.

  • Eine frühere Version von Sophos Anti-Virus zeigte fälschlicherweise den Befall des Virus "OSX/Inqtana.B worm" und forderte den Anwender auf, kritische System-Dateien und Programme zu löschen - was zu massiven Problemen führte. Inqtana.B war eine Variante von OSX/Inqtana.A, einem Java-basierten Virus-Konzept, der ältere Mac OS X 10.4 (Tiger)-Varianten infizieren sollte.

  • Die Verwundbarkeit betraf weder Mac OS X 10.4.5 noch Mac OS X 10.4.6. Dieser Virus ist nie in "freier Wildbahn" aufgetreten, doch Sophos Software entdeckte "infizierte Dateien" - in manchen Fällen Tausende davon - auf Mac OS X 10.4.5. Sophos sorgte rasch für Abhilfe, doch die Folgen dieser Falschmeldungen waren in vielen Fällen desaströs. Anwender, die vom Befall ihres Systems überzeugt waren, löschten Dutzende (manchmal Hunderte) von zentralen System-Dateien und beschädigten dadurch wichtige Anwendungen oder vernichteten wichtige Daten.

  • "Cowhand-A" ist ein Proof of Concept von www.cowfight.com aus dem Jahr 2004 für einem Proxy-Trojaner für Mac OS X. Die Autoren verfolgen das Konzept des Proxy-Trojaners nicht mehr weiter, weil es erwiesenermaßen nicht funktioniert. Doch "Sophos Kunden können beruhigt sein: sie werden schon seit 22.4.2005 vor dem (nicht funktionsfähigen) Trojaner geschützt. Man will ja wissen, wo man sein Geld für ausgegeben hat." (www.fscklog.com)


Virex von McAfee
(die Firma, die für die beängstigende Warnung vor einer mehr als 200%igen Zunahme der Malware verantwortlich ist) war bis Mitte 2005 im Abonnement von .Mac von Apple enthalten. Apple entschied, auf Virex zu verzichten, weil die Software in der Vergangenheit häufig dadurch aufgefallen war, dass sie die Systemperformance stark verlangsamte, Lüfter auf permanente Maximalaktivität schaltete und die Funktion verschiedener Programme beeinträchtigte.
McAfee hat im Januar 2006 ein Sicherheitsleck in seiner Software per Update geschlossen, jedoch ohne auf die Gefahren des Lecks hinzuweisen und seine Kunden zum Update aufzufordern. Das Leck habe durch die Zugriffsrechte in der Komponente "ePolicy Orchestrator" bestanden, das McAfee durch ein Update im Januar behoben hat, in den Release Notes allerdings nur von neuen Funktionen die Rede war. Im Juli 2006 war dann die Zeit dafür gekommen, dass sich McAfee dafür entschuldigte.


Integos VirusBarrier X
das als erstes Programm als Universal Binary für Intel-Macs angepasst wurde, zählte zu den weniger problematischen kommerziellen Lösungen, fiel aber im Laufe seiner Geschichte durch einige Probleme auf.
VirusBarrier X sorgte dafür, dass das komplette System auf Eingaben nicht mehr reagierte und weigerte sich von diesem Moment an, korrekt zu starten.

Intego beseitigte das Problem mit der Veröffentlichung aktueller Virensignaturen im März 2003. Ein anderes Problem wurde durch VirusBarrier X gegen Ende 2005 verursacht: Die Festplatte wurde mit mehreren Tausend kleiner (4 kB) Dateien gefüllt.


ClamXav
Glücklicherweise ist der momentan beste Virenschutz für Mac OS X kostenlos verfügbar. ClamXav ist das graphische Interface für das Open-Source-Programm ClamAV. Die ClamAV-Engine wird auch von anderen Programmen wie z.B. Tiger Cache Cleaner verwendet und ist Bestandteil der Installation von Mac OS X Server 10.4 und 10.5.
Leider ist auch ClamXav nicht völlig problemfrei - insbesondere nicht bei der Installation von Software. In einem Fall wurde die Installation des Adobe Illustrator CS2 12.0.1 Update-Programms durch ClamXav verhindert.


Zusammenfassung
Die Vergangenheit zeigte, dass Meldungen über neue Schadsoftware für Mac OS X kritisch hinterfragt werden müssen, da die Hersteller kommerzieller Virenschutz-Software damit primär die Werbetrommel für Ihre Produkte rühren. "Neue Viren für den Mac" stellten sich bislang stets als "Proof of Concept" heraus, tauchten nie in freier Wildbahn auf oder waren stattdessen Trojaner (die sich nicht ohne Zutun des Benutzers verbreiten, sondern immer eine Authentifizierung durch den Benutzer erfordern).

Im Vergleich mit anderen Software-Kategorien verursachen Mac OS X Anti-Viren-Programme sicherlich mehr Probleme im Betriebssystem und Datenverluste als z.B. DTP-Programme.

Die Installation von Anti-Viren-Software ist immer nur so gut wie die Aktualität der Virensignaturen. Der regelmäßige Scan der Festplatte allein stellt keine Garantie dafür dar, dass der Befall durch einen Virus - falls denn mal einer auftreten sollte - verhindert wird. Anti-Viren-Software funktioniert durch Überprüfung Ihrer Dateien auf eine vordefiniertes Set von Viren-Signaturen, die auf Malware hinweisen. Sollte also der vielbeschworene Mac OS X-Virus einmal erscheinen, dann ist die gegenwärtige Anti-Viren-Software solange nutzlos gegen den Befall, bis die Viren-Signaturen um den neuen Typ ergänzt wurden.

Bisher ging die größte Gefahr für Schadsoftware auf dem Mac von sogenannten Makro-Viren für MS Office aus. Seit 2008 kam dazu ein weiteres Gefahrenpotential hinzu durch eine Handvoll Trojaner für Mac OS X, die sich im Anhang von manipulierten Software-Paketen in Tauschbörsen verbreiteten oder sich als Video-Codec für Schweine-Filmchen tarnten. Meiden Sie unseriöse WebSites und prüfen Sie genau, was Sie per Download installieren. Denken Sie nach, bevor Sie die Maus klicken!

Einige Viren-Schutzprogramme nutzen Routinen zur Prüfung "verdächtiger Datei-Aktivitäten", die auf die Präsenz von Malware hinweisen sollen; doch die Chancen einer solchen Routine, auf einen pfiffig programmierten Schädling aufmerksam zu werden, sind gering. Insbesondere vor dem Hintergrund, dass es bislang ein vergleichbares Schädlings-Programm noch nicht gegeben hat.

So gesehen bleibt ein ernsthafter Grund zur Installation von Anti-Viren-Software für OS X: Der Schutz von Windows-Usern vor Schadprogrammen durch unbeabsichtigte Weitergabe durch Macs. Installieren Sie also ein Virenschutzprogramm wie z.B. ClamXav, um nicht unbemerkt Viren für Windows weiterzugeben.

Apfelwerk
letzte Aktualisierung: Fr, 15. Apr 2011 20:39 Uhr