Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

Seite 2: Apples Malware-Blockade XProtect

Inhaltsverzeichnis

Die in OS X eingebaute Schutztechnik XProtect prüft im Zusammenspiel mit Gatekeeper Downloads auf bekannte Schädlinge und schlägt dem Anwender vor, verdächtige Dateien in den Papierkorb zu befördern, wenn es sie erkennt. Aufgrund der Implementierung ist aber nicht sichergestellt, dass aktualisierte Versionen von XProtect umgehend auf alle Rechner von Anwendern gelangen. Hier muss man im Ernstfall selbst kontrollieren, ob dies schon geschehen ist. Auf einem unserer Testrechner dauerte es vier Tage, bis XProtect aktualisiert und damit auf KeRanger vorbereitet war.

Damit die automatischen Updates zeitnah erfolgen, muss die Option „Systemdatendateien und Sicherheits-Updates installieren“ in den Systemeinstellungen unter „App Store“ gesetzt sein. In vielen Fällen mag es auch praktikabel sein, Software-Installationen auf den Mac App Store zu beschränken. Dies können Sie in den Sicherheits-Einstellungen des Systems in der Lasche „Allgemein“ anpassen.

Nur wenn die Option zum Installieren von Systemdatendateien und Sicherheits-Updates aktiviert ist, wird Apples Schutzmechanismus XProtect automatisch im Hintergrund aktualisiert.

Da KeRanger mit einem geklauten, aber offiziellen Entwicklerzertifikat eines anderen Entwicklers „produziert“ wurde, hätte die Einstellung „Mac App Store und verifizierte Entwickler“ hier nicht geholfen – zumindest nicht so lange, bis Apple das Zertifikat zurückgezogen hatte. Wie XProtect hängt auch das Zertifikate-Update in der Luft, wenn man vorübergehend keinen Netzzugang hat.

Aktualität von XProtect selbst überprüfen

Um die Aktualität von XProtect selbst zu prüfen, gehen Sie am besten über das Apple-Menü, rufen „Über diesen Mac“ und dann „Systembericht“ auf und suchen dort unter „Installationen“ nach „XProtect“. Der letzte Eintrag verrät das letzte Aktualisierungsdatum. Im Terminal geht es etwas schneller mit

ls -alsi /System/Library/CoreServices/XProtect.bundle/Contents/Resources/

Wichtig ist das Änderungsdatum des Verzeichnisses, das Sie in der ersten Ausgabezeile – die mit dem „.“ am Ende – finden. Das Änderungsdatum der XProtect.plist weist hingegen auf das Änderungsdatum der Datei selbst durch Apple hin, das wegen der möglicherweise verzögerten Auslieferung nicht dem lokalen Stand entsprechen muss.

Um auf Nummer sicher zu gehen, kann man den Inhalt der XProtect.plist mit einem Tool wie Xcode selbst prüfen.


Liegen die Änderungen zu lang zurück, können Sie auch jederzeit ein manuelles Update im Terminal anstoßen, und zwar mit dem Befehl:

sudo softwareupdate --background-critical

Allerdings sollte man sich weder auf Apples Schutz noch auf Anti-Viren-Programme der bekannten Hersteller verlassen, denn auch diese können nur greifen, wenn sie rechtzeitig Signatur-Updates erhalten – was im Falle von KeRanger bei allen uns bekannten Mac-Virenscannern nicht der Fall war.

In den Systeminformationen gibt Apple Aufschluss darüber, wann die XProtect.
plist-Datei mit Schädlingssignaturen das letzte Mal aktualisiert wurde.
Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten