Jeder Apple-Fan wird Ihnen sagen, dass Macs vor Malware geschützt sind, aber das stimmt einfach nicht. Kürzlich hat ein gefälschtes AV-Programm OS X-Computer in freier Wildbahn angegriffen und infiziert. Hier ist ein kurzer Überblick darüber, wie es funktioniert, wie es entfernt wird und wie es überhaupt verhindert wird.
Bei dem fraglichen Virus handelt es sich tatsächlich um ein gefälschtes Antivirus- und Trojaner-Virus, das unter verschiedenen Namen geführt wird. Es kann sich als Apple Security Center, Apple Web Security, Mac Defender, Mac Protector und möglicherweise als viele andere Namen präsentieren.
Hinweis: Wir sind auf dieser Malware auf einer Handvoll Benutzerarbeitsstationen bei meiner täglichen Arbeit aufgetreten und haben dann einige Zeit damit verbracht, die Funktionsweise zu analysieren. Dies ist eine echte Malware, die Menschen wirklich infiziert.
Screenshot-Tour einer Mac Protector Malware-Infektion
Die Infektion entsteht durch eine Webseitenumleitung, die dem Benutzer die folgende Seite anzeigt, die ihn wie einen echten Mac OS X-Popup-Dialog erscheinen lässt.
Wenn der Benutzer auf "Alles entfernen" klickt, wird sofort ein Paket heruntergeladen, mit dem der Virus installiert wird.
Nach dem Herunterladen beginnt Ihr Computer wahrscheinlich automatisch mit der Installation. Zum Glück müssen Sie den Installationsprozess vorerst noch manuell durchlaufen. Wenn mehr Sicherheitslücken gefunden werden, wird sich dies wahrscheinlich in Zukunft ändern, genau wie dies für Windows-Benutzer in der Vergangenheit der Fall war.
Hinweis: Dies wurde auf einer vollständig gepatchten Neuinstallation von OS X 10.6.7 installiert, wobei Symantec Endpoint Protection 11.0.6 vollständig auf dem neuesten Stand war.
Das Installationsprogramm wird gestartet und Sie müssen den normalen OS X-Prozess durchlaufen. Benutzer werden während der Installation außerdem aufgefordert, einen Benutzernamen und ein Kennwort mit Administratorrechten einzugeben.
Möglicherweise sehen Sie das neue schildartige Symbol in der Menüleiste.
Das Programm wird automatisch ausgeführt und gibt vor, eine Art Datenbank zu laden. Wir können davon ausgehen, dass es sich um Virendefinitionen handelt.
Sie werden dann mit Benachrichtigungen und Popups gesperrt, die Sie über Ihre gefälschte Infektion informieren.
Genau wie bei gefälschten Antivirenprogrammen unter Windows wird Ihnen beim Klicken auf die Schaltfläche zum Bereinigen oder auf eine der Benachrichtigungen mitgeteilt, dass Ihre Software nicht registriert ist und bezahlt werden muss.
Wenn Sie auf die Schaltfläche Registrieren klicken, werden Sie nach Ihren Kreditkarteninformationen gefragt.
Hinweis: Geben Sie in diesem Fenster Ihre Kreditkarteninformationen nicht aus, senden Sie sie nicht ab und geben Sie sie nicht einmal ein.
Wenn Sie dieses Fenster schließen, werden Sie aufgefordert, Ihre Seriennummer einzugeben, um fortzufahren.
Mac Protector / Defender entfernen
Um den Virus zu entfernen, schließen Sie alle Fenster mit der Tastenkombination Befehl + Q oder klicken Sie auf die rote Kugel in der oberen linken Ecke.
Navigieren Sie nun zu Ihrer Festplatte -> Anwendungen -> Dienstprogramme und öffnen Sie den Aktivitätsmonitor. Suchen Sie den MacProtector-Prozess und klicken Sie auf Prozess beenden.
Bestätigen Sie das Popup und fragen Sie, ob Sie den Vorgang wirklich beenden möchten.
Öffnen Sie Ihr Apple-Menü und wählen Sie die Systemeinstellungen aus.
Wählen Sie im neuen Fenster Konten aus.
Wenn Sie Ihre Kontoeinstellungen nicht bearbeiten können, klicken Sie auf das Schloss in der unteren linken Ecke des Fensters und geben Sie Ihr Administratorkennwort ein.
Wählen Sie Ihren Benutzer von links aus und klicken Sie dann auf die Registerkarte Anmeldeelemente. Wählen Sie den MacProtector-Eintrag aus und klicken Sie unten im Fenster auf die Minus-Schaltfläche (-).
Schließen Sie die Systemeinstellungen und kehren Sie zu Ihrem Anwendungsordner zurück. Suchen Sie die installierte MacProtector-Anwendung und ziehen Sie sie entweder in den Papierkorb, klicken Sie mit der rechten Maustaste und verschieben Sie sie in den Papierkorb oder ziehen Sie sie in Ihr bevorzugtes App-Zapper-Programm.
So verhindern Sie das Abrufen des Virus
Es gibt einige Vorsichtsmaßnahmen, die Sie treffen können, um diesen Virus zu bekommen. Verwenden Sie beim Surfen im Internet zunächst den gesunden Menschenverstand. Wenn die Website verdächtig aussieht oder die Warnungen faul aussehen, klicken Sie nicht darauf.
Es wird wahrscheinlich auch andere Warnungen geben, dass etwas einen Virus enthalten könnte. Zum Beispiel wurde der Virus, den ich herunterladen konnte, später von Google als schädlich für meinen Computer gekennzeichnet.
Wenn Sie Safari verwenden, sollten Sie auch die Einstellung deaktivieren, um "sichere" Dateien nach dem Herunterladen automatisch zu öffnen. Gehen Sie zu Ihren Safari-Einstellungen und deaktivieren Sie das Kontrollkästchen, um diese Einstellung zu deaktivieren.
Sie sollten Ihre Downloads auch mit einem Antivirenprogramm scannen. Wenn das Installationspaket mit Symantec Endpoint gescannt wird, wird der Virus sofort erkannt.
Wenn Sie Symantec nicht auf Ihrem Mac haben, verfügt der Windows-Scanner auch über Definitionen zum Erkennen dieses Virus.
Haben Sie in freier Wildbahn eine Mac OS X-Malware-Infektion festgestellt? Teilen Sie dies unbedingt mit Ihren Mitlesern in den Kommentaren.
