Erpressungstrojaner und Mac-Malware: Schützen statt zahlen
Seite 2: Apples Malware-Blockade XProtect
Die in OS X eingebaute Schutztechnik XProtect prüft im Zusammenspiel mit Gatekeeper Downloads auf bekannte Schädlinge und schlägt dem Anwender vor, verdächtige Dateien in den Papierkorb zu befördern, wenn es sie erkennt. Aufgrund der Implementierung ist aber nicht sichergestellt, dass aktualisierte Versionen von XProtect umgehend auf alle Rechner von Anwendern gelangen. Hier muss man im Ernstfall selbst kontrollieren, ob dies schon geschehen ist. Auf einem unserer Testrechner dauerte es vier Tage, bis XProtect aktualisiert und damit auf KeRanger vorbereitet war.
Damit die automatischen Updates zeitnah erfolgen, muss die Option „Systemdatendateien und Sicherheits-Updates installieren“ in den Systemeinstellungen unter „App Store“ gesetzt sein. In vielen Fällen mag es auch praktikabel sein, Software-Installationen auf den Mac App Store zu beschränken. Dies können Sie in den Sicherheits-Einstellungen des Systems in der Lasche „Allgemein“ anpassen.
Da KeRanger mit einem geklauten, aber offiziellen Entwicklerzertifikat eines anderen Entwicklers „produziert“ wurde, hätte die Einstellung „Mac App Store und verifizierte Entwickler“ hier nicht geholfen – zumindest nicht so lange, bis Apple das Zertifikat zurückgezogen hatte. Wie XProtect hängt auch das Zertifikate-Update in der Luft, wenn man vorübergehend keinen Netzzugang hat.
Aktualität von XProtect selbst überprüfen
Um die Aktualität von XProtect selbst zu prüfen, gehen Sie am besten über das Apple-Menü, rufen „Über diesen Mac“ und dann „Systembericht“ auf und suchen dort unter „Installationen“ nach „XProtect“. Der letzte Eintrag verrät das letzte Aktualisierungsdatum. Im Terminal geht es etwas schneller mit
ls -alsi /System/Library/CoreServices/XProtect.bundle/Contents/Resources/
Wichtig ist das Änderungsdatum des Verzeichnisses, das Sie in der ersten Ausgabezeile – die mit dem „.“ am Ende – finden. Das Änderungsdatum der XProtect.plist weist hingegen auf das Änderungsdatum der Datei selbst durch Apple hin, das wegen der möglicherweise verzögerten Auslieferung nicht dem lokalen Stand entsprechen muss.
Liegen die Änderungen zu lang zurück, können Sie auch jederzeit ein manuelles Update im Terminal anstoßen, und zwar mit dem Befehl:
sudo softwareupdate --background-critical
Allerdings sollte man sich weder auf Apples Schutz noch auf Anti-Viren-Programme der bekannten Hersteller verlassen, denn auch diese können nur greifen, wenn sie rechtzeitig Signatur-Updates erhalten – was im Falle von KeRanger bei allen uns bekannten Mac-Virenscannern nicht der Fall war.