OS X-Benutzer machen sich gerne über Windows-Benutzer lustig, die als einzige ein Malware-Problem haben. Aber das stimmt einfach nicht mehr und das Problem hat in den letzten Monaten dramatisch zugenommen. Machen Sie mit und enthüllen Sie die Wahrheit über das, was wirklich vor sich geht, und warnen Sie die Menschen hoffentlich vor dem bevorstehenden Untergang.
Da es sich tatsächlich um Unix unter der Haube handelt, bietet OS X einen nativen Schutz gegen die schlimmsten Arten von Viren. Heutzutage besteht das Problem jedoch nicht darin, dass Viren Ihren Computer vollständig beschädigen. Es handelt sich um Spyware, Crapware und Adware, die sich auf Ihren Computer einschleichen, Ihren Browser entführen, Anzeigen einfügen und verfolgen, was Sie gerade sehen. Und vieles davon ist legal, weil Sie während eines Installationsprogramms dazu verleitet werden, auf das Falsche zu klicken.
VERBUNDEN: Download.com und andere bündeln HTTPS Breaking Adware im Superfish-Stil
Und jetzt bündeln Download-Sites, gefälschte Anzeigen für Software in Suchmaschinen und skizzenhafte Anwendungen Adware und Crapware in Installationsprogrammen für legitime Software. Sie können nicht mehr einfach davon ausgehen, dass Sie in Sicherheit sind, da Sie unter OS X arbeiten. Sie müssen vorsichtig sein, was Sie herunterladen und auf was Sie klicken.
Wenn Sie nicht der Meinung sind, dass dies eine große Sache ist, denken Sie noch einmal darüber nach. Diese Adware-Elemente fügen sich direkt in den Browser ein und werden auch auf sicheren Websites wie Ihrer Bank, Ihrer Kreditkarten-Website und Ihrer E-Mail-Adresse analysiert und ausgeführt. Dabei werden Daten an ihre Server zurückgesendet. Sie verwenden nicht ein HTTPS-Hijacking-Proxy Nach allem, was wir während unserer Recherche sagen können, ist es nur eine Frage der Zeit, und sie tun es möglicherweise bereits und wir haben den Beweis noch nicht gefunden.
Da wir hier bei How-To Geek hauptsächlich Mac-Benutzer sind, hoffen wir wirklich, dass Apple bei diesem Problem eine andere Taktik anwendet als Microsoft bei Windows und diesen Betrügern nicht erlaubt, ihre Plattform zu zerstören.
Gebündelte Crapware für OS X wird von Tag zu Tag schlimmer
Es ist noch nicht lange her, dass Sie fast alles für OS X von fast jeder Website installieren konnten, und Sie mussten sich nicht wirklich darum kümmern, auf was Sie geklickt haben. Das stimmt einfach nicht mehr und obwohl die Dinge besser sind als unter Windows, ist es zu diesem Zeitpunkt nur eine Frage der Zeit.
VERBUNDEN: Folgendes passiert, wenn Sie die Top 10 Download.com-Apps installieren
Sie haben immer noch eine sichere Quelle für Software im Mac App Store, aber das Problem ist, dass nicht alle Anbieter ihre Software über den App Store verkaufen und viele von ihnen dort ältere Versionen verkaufen und die neueste Version auf ihrer eigenen Website haben. Wenn Sie sich an den App Store halten, brauchen Sie sich keine Sorgen zu machen. Wir würden gerne sehen, wie Apple einige Probleme im App Store behebt und alle dazu bringt, sie zu verwenden.
Genau wie unter Windows Sie müssen nicht weiter als bis zu CNET-Downloads suchen gebündelte Crapware zu finden… sogar für Mac. Das ist richtig, sie sind mit diesem Unsinn plattformübergreifend geworden. Und sie haben es noch schlimmer gemacht, weil Sie entweder eine Schaltfläche zum Installieren oder eine Schaltfläche zum Schließen haben. Es gibt nicht einmal mehr einen Rückgang! Wenn Sie auf Schließen klicken, wird das Installationsprogramm vollständig heruntergefahren. Sie haben also entweder Crapware gebündelt, die Ihren Browser entführt, oder Sie können diese App nicht installieren.
Der Screenshot installiert Spigot und eine Menge anderen Unsinns, der Ihren Browser zu Yahoo umleitet, eine Reihe unerwünschter Plugins installiert und das fliegende Spaghetti-Monster im Allgemeinen zum Weinen bringt. Es ist erstaunlich, wie viel Geld Yahoo in diese Dinge stecken muss, um Ihren Browser in die Suchmaschine zu entführen ... wenn es nicht einmal ihre ist. Yahoo Search ist wirklich nur eine umbenannte Version von Bing. Naja.
Oh mein! Auf dem nächsten Bildschirm können Sie mit dem Installationsprogramm endlich wieder etwas ablehnen! Vielleicht ist die Sache im Screenshot so schlecht, dass selbst CNET-Downloads es Ihnen nicht aufzwingen wollen. Kein gutes Zeichen.
Natürlich werden nicht nur CNET-Downloads gebündelt, sondern wir haben auch eine Reihe anderer Apps gefunden, die auf Freeware-Download-Sites verteilt werden, die ihre eigene Bündelung durchführen. Zum Beispiel YTD das Lädt HTTPS-Hijacking-Adware für Windows hat eine Mac-Version. Und sie bündeln auch Spigot. Willst du etwas torrent? Warum lädst du uTorrent nicht von der Website herunter? Scheint, als würden die Leute das gerne benutzen. Oh.
Das Problem wird immer schlimmer, wenn Sie versuchen, mit Ihrer bevorzugten Suchmaschine nach Freeware zu suchen. Es ist erwähnenswert, dass hier Google hat erst kürzlich versucht, gebündelte Crapware zu verbieten von ihren Ergebnissen und Anzeigen, aber leider haben Yahoo und Bing nicht das gleiche Maß an Ehrfurcht. In der Tat sind sie einfach schrecklich.
Wenn Sie ein durchschnittlicher, normaler Benutzer sind und Yahoo nach "vlc download" durchsuchen, wird Ihnen etwas angezeigt, das wie der nächste Screenshot aussieht. Und jede einzelne Sache auf der Seite ist tatsächlich ein Link zu einem gebündelten Crapware-Installationsprogramm für VLC, und fast alle von ihnen sind plattformübergreifend und funktionieren unter OS X. Und der Text mit der Aufschrift „Anzeige“ ist fast unsichtbar.
Wenn ein ahnungsloser Benutzer versucht, eines dieser Installationsprogramme zu verwenden, wird ihm ein ähnlicher Bildschirm angezeigt, auf dem der InstallMac installiert wird, der alles entführt und Adware in Ihr System einfügt - es ist schrecklich. Und natürlich versucht der nächste Bildschirm, Sie dazu zu bringen, etwas anderes zu installieren, das Sie nicht benötigen. Und dann noch etwas. Es ist so viel Crapware.
Wir haben viel mehr Software gefunden, die auf diese Weise bereitgestellt wird, mit einer Menge Installationsprogrammen von fast allen gebündelten Crapware-Installationsunternehmen. Hier ist ein Installations-Wrapper für OpenOffice, der mit einer wirklich miesen Adware gebündelt ist, die nur Ihren Browser übernimmt. Ja, wir haben Yahoo erneut nach OpenOffice durchsucht und auf die tatsächliche Website geklickt, da der Anzeigentext so klein war, dass wir keinen Unterschied feststellen konnten. Und genau das kam auf.
Es wird eine Epidemie für Mac-Benutzer. Worauf müssen wir uns also freuen?
Adware und Malware unter OS X sind fast so schrecklich wie unter Windows
Wenn Sie es schaffen, sich mit etwas zu infizieren, wird der größte Teil der Adware, Malware und Spyware unter OS X versuchen, Ihren Browser irgendwie zu infizieren, indem Sie Ihren neuen Tab, Ihre Such- und Startseiten entführen, Anzeigen in Seiten einfügen und nach dem Zufallsprinzip Abscheuliche Benachrichtigungen des technischen Supports. Das meiste davon wird Ihre Festplatte oder etwas wirklich Schreckliches nicht löschen ... aber aufgrund der zunehmenden Raffinesse, die wir sehen, ist es nur eine Frage der Zeit.
Viele dieser Browser-Hijacker fügen Anzeigen ein, in denen Nachrichten angezeigt werden, die unabhängig von Ihrer Tätigkeit nicht verworfen werden können, wie Sie im obigen Screenshot sehen können. Und sie werden die ganze Zeit zufällig angezeigt, während Sie surfen, und Sie müssen CMD + Q verwenden, um die App vollständig zu schließen und sie zu entfernen. Im Wesentlichen wird Ihr Browser völlig unbrauchbar.
Die einfachste Adware installiert sich als Erweiterung in Ihrem Browser und setzt alle Ihre Seiten zurück, um die schreckliche Suchmaschine zu durchlaufen. Und damit meinen wir meistens Yahoo ... aber es gibt eine Menge anderer wie Searchmoose, Search-Quick und Searchbenny, die ihre eigenen gefälschten Suchmaschinen verwenden. Einige von ihnen leiten Sie zu Bing weiter, jedoch niemals direkt. Es ist immer durch einen Vermittler wie Trovi.
Die meisten Anzeigen, die injiziert werden, versuchen, Sie dazu zu bringen, noch mehr Anzeigen mithilfe gefälschter Java-Plugin-Nachrichten oder Nachrichten zu installieren, in denen Sie aufgefordert werden, einen Codec oder eine neue Version von Flash zu installieren. All dies ist natürlich eine Fälschung und installiert nur noch mehr Crapware und Malware auf Ihrem Computer. Hin und wieder wird einer von ihnen versuchen, eine Windows-Adware bereitzustellen, aber zum größten Teil sind sie klug genug, um zu wissen, dass Sie ein Mac-Benutzer sind, und die entsprechende Crapware bereitzustellen.
Ein Großteil der Adware leitet Ihre Suchmaschine an eine gefälschte Suchmaschine weiter, die Google oder Bing sehr ähnlich sieht, aber alle Ergebnisse sind nichts als Anzeigen.
Und dann wird es zufällig anfangen, mit Ihnen zu sprechen. Buchstäblich. Es spielt Audio-Anzeigen über Ihre Lautsprecher ab. Wir haben eine Anzeige für Northrup Grumman gehört. Wie verrückt ist das? (Wir sind uns ziemlich sicher, dass sie nichts davon wissen.)
Wir haben nur einige der nervigen Adware gezeigt, aber ein Großteil der gebündelten Crapware ist auch ziemlich mies, und fast jeder einzelne Crapware-Bundler, den wir gefunden haben, und fast jede einzelne Adware-Anzeige hat versucht, uns dazu zu bringen, MacKeeper zu installieren. Wir wissen nicht viel darüber, obwohl wir planen zu untersuchen, wie es funktioniert, da diese Taktiken fragwürdig sind.
Der größte Trend, den wir bei Adware bemerkt haben, ist, dass fast alles versucht, Ihren Browser und Ihre Suchmaschine auf Yahoo umzuleiten. Jemand da drüben bei Yahoo muss gefeuert werden.
Tiefer graben: Wie ein Teil dieser Malware tatsächlich funktioniert
Die einfache Adware funktioniert wie die meisten Adware-Programme, indem sie sich in den Safari-Erweiterungen installiert, die recht einfach zu deinstallieren sind. Das Problem ist, dass nur wenige Adware-Teile in unserer Forschung auf diese Weise funktionierten.
Alle Suchmaschinen-Hijacking, Homepage-Weiterleitung und Erweiterungen, die Anzeigen einfügen, sind eine Sache. Das größere Problem ist die schwerwiegende Malware, die sich tief im Betriebssystem installiert und von der durchschnittlichen Person niemals entfernt werden kann. Es gibt kein Deinstallationsprogramm, kein Startelement, keine Plugins in Ihrem Browser, keine Erweiterungen oder andere Elemente, die anscheinend installiert sind.
Was es jedoch gibt, sind wirklich schreckliche Anzeigen, die in alles, was Sie tun, eingefügt werden und Ihren Computer langsamer als Schmutz machen. Ihre Suchmaschine wird entführt und es ist möglich, dass Ihr Browser über einen Proxy weitergeleitet wird. Dies ist reine Malware, es ist nicht mehr nur Adware, auch wenn Sie versehentlich vergessen haben, irgendwo ein Kontrollkästchen zu deaktivieren. Es funktioniert genauso wie das Trovi-Malware funktioniert unter Windows durch Einspritzen in Prozesse.
Diese schwerwiegenderen Malware-Komponenten installieren sich selbst als Daemon oder Dienst, der im Hintergrund und hinter den Kulissen ausgeführt wird. Sie finden diese Dinge im Ordner / Library / LaunchAgents oder / Library / LaunchDaemons, der einige wirklich seltsam aussehende Elemente enthält, die einfach nicht dazu gehören. Dieser Ordner kann auch für reale Dinge aus realen Anwendungen verwendet werden. Bereinigen Sie diesen Ordner also nicht vollständig oder so.
Eine Überprüfung der Plist-Datei zeigt Ihnen, wo sich die eigentliche Malware befindet, die sich normalerweise in einem vollständig separaten Ordner befindet.
Wenn Sie in diesen Ordner gehen und die Datei "Version.plist" untersuchen, erhalten Sie weitere Informationen darüber, was tatsächlich vor sich geht. Dieses Ding heißt Search-Quick und unterstützt aus irgendeinem Grund die Entführung von Chrome und Safari sowie das nächtliche Webkit-Build.
Weitere Untersuchungen ergeben etwas Merkwürdiges… Die Person, die diese Malware geschrieben hat, wollte sich ganz besonders bei ihrer Mutter bedanken.
Sobald die Malware von OS X als Daemon gestartet wurde, verwendet sie eine wenig bekannte Funktionalität in OS X, mit der sich ein Prozess in einen anderen Prozess einfügen kann. Sie können sehen, wie es funktioniert, indem Sie ein Terminal öffnen und die ausführbare Agentendatei direkt ausführen. Tatsächlich wird es an Ihren Webbrowser angehängt und als versteckte Erweiterung geladen. In der Abbildung unten sehen Sie, dass es für die Prozess-ID 544 aktiviert wurde, bei der es sich um Google Chrome handelte. Das Gleiche gilt für Safari, wenn es geöffnet ist.
Dies bedeutet, dass Adware oder Malware ausgeführt wird Innerhalb von Ihrem Webbrowser, der sich in jede Seite einfügt, die Sie besuchen. Es spielt keine Rolle, ob Sie eine sichere Bank-Website besuchen oder nicht, sie befindet sich bereits im Inneren. Eine der Nebenwirkungen dieser Malware ist, dass Ihr gesamter Computer jederzeit extrem langsam ist, unabhängig davon, was Sie tun.
Einige Tipps zum Entfernen von Adware und Malware in OS X finden Sie hier Lesen Sie das Apple Support-Dokument oder warten Sie einfach auf unsere kommenden Artikel zu diesem Thema. Wir werden uns viel mehr mit all diesen Dingen befassen.
Was bedeutet das alles und wie schützen Sie sich?
Obwohl wir gezeigt haben, dass Malware, Adware, Crapware und Spyware unter OS X immer schlimmer werden, bedeutet dies nicht, dass Sie sich unbedingt Sorgen machen oder Linux installieren oder etwas drastisches tun müssen. OS X wird immer noch nicht so stark angegriffen wie Windows, und es gibt immer noch einige Sicherheitsmaßnahmen, die es Malware erschweren, durchzukommen.
Am sichersten können Sie Ihre Anwendungen im Mac App Store installieren, wann immer dies möglich ist. Diese Anwendungen wurden von Apple überprüft und sollten in Ordnung sein. Sie werden definitiv nicht mit gebündelter Crapware oder Adware geliefert.
Beschränken Sie Apps, die nicht aus dem App Store stammen
Dadurch wird das Problem nicht vollständig behoben. Sie können OS X jedoch so konfigurieren, dass alle ausführbaren Dateien, die nicht aus dem App Store stammen, automatisch eingeschränkt werden. Dies gilt nicht für Anwendungen, die bereits auf Ihrem Computer installiert sind, unabhängig davon, woher sie stammen. Es gilt einfach für neue Downloads.
Gehen Sie zu Systemeinstellungen -> Sicherheit und Datenschutz, klicken Sie unten auf das Schlosssymbol und wechseln Sie die Einstellung anstelle der Standardeinstellung in den Mac App Store.
Wenn Sie dies tun, wird beim Versuch, etwas auszuführen, das sich nicht im App Store befindet, automatisch eine Blockierungsmeldung angezeigt. Sie können es weiterhin öffnen, wenn Sie mit der rechten Maustaste klicken und Öffnen und dann erneut Öffnen wählen. Standardmäßig ist jedoch alles blockiert.
Dies löst das Problem der von Ihnen verwendeten Anwendungen nicht tun Sie möchten mit gebündelter Crapware installieren, für die standardmäßig das Deaktivieren erforderlich ist. Aber es ist eine großartige Sicherheitseinstellung für Ihre Verwandten.
Wenn Sie eine Anwendung von einem anderen Ort aus installieren müssen, stellen Sie sicher, dass es sich wirklich um eine vertrauenswürdige Quelle handelt und nicht um eine gefälschte Site, die Open Source-Freeware mit einem Bundleware-Wrapper bereitstellt.
VERBUNDEN: Oracle kann das Java-Plug-In nicht sichern. Warum ist es weiterhin standardmäßig aktiviert?
Sie sollten auch in Betracht ziehen, Ihre Browser-Plugins zu deaktivieren - z Chrome und Firefox, das ist ziemlich einfach Für Safari ist es ein etwas komplizierter . Das Größte, was Sie tun können, ist Deaktivieren Sie Ihr Java-Plugin , weil es ziemlich selten ist, dass Sie das brauchen, und weil Java war 2013 für 91% der Angriffe verantwortlich . Dies verringert Ihre Wahrscheinlichkeit von mit einem Zero-Day-Angriff ins Visier genommen werden .
Es könnte sogar an der Zeit sein, ein Antivirenprogramm für OS X in Betracht zu ziehen, zumindest wenn Sie eine Menge Software von Quellen außerhalb des App Store installieren möchten. Wenn Sie dies nicht tun, ist es wahrscheinlich keine so große Sache, aber wir nähern uns dem Punkt, an dem es benötigt wird. Was wir uns noch nicht ganz sicher sind, ist, was Antivirus für Mac überhaupt wert ist und diese Art von Dingen blockiert - unter Windows blockieren die meisten Antivirenprogramme gebündelte Crapware und Adware überhaupt nicht, da sie legal sind, da Sie während des Zeitraums zustimmen mussten Installationsprozess. Zahlen Sie jetzt nicht nur für ein Antivirenprogramm. Denken Sie nur an die Zukunft.
Seien Sie vorsichtig, auf was Sie klicken, und vertrauen Sie keinen Fehlermeldungen, die in Ihrem Webbrowser-Fenster angezeigt werden. Wenn Sie etwas sehen, das besagt, dass Ihr Computer infiziert ist und eine Meldung anzeigt, halten Sie die Tastenkombination CMD + Q gedrückt, um alles sofort zu schließen.
Es gibt keinen besseren Zeitpunkt für Windows-Benutzer, um auf den Mac zu wechseln. Mit so viel Crapware und Adware werden sie sich wie zu Hause fühlen! (Wir scherzen natürlich.)
