Anti-Malware für Apple? Snow macht Witze!

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Einerseits sieht es so aus, als sei sich Apple jetzt bewusst, welche Gefahren bösartiger Code für seine Benutzer bedeutet. Tester der Beta-Version berichten, dass in der neuen Version des Mac-Betriebssystems Snow Leopard, die morgen veröffentlicht wird, Anti-Malware-Technologie integriert sein soll (obwohl das mal jemand der Marketing-Abteilung von Apple sagen sollte, die das Mac-Betriebssystem, wie bereits gebloggt, in einem neuen Werbespot „Überraschung“ noch immer als Malware-immun anpreist).

Wenn ein Benutzer in der neuen Version des Mac-Betriebssystems eine Datei herunterlädt, in der bösartiger Code entdeckt wird, wird der Benutzer darauf hingewiesen, dass die Datei „seinen Computer beschädigen könnte“, und aufgefordert, die fehlerhafte Datei zu löschen.

Dass Infinity Loop jetzt zugibt, dass eine Bedrohung durch Malware existiert, ist ein neuer, wichtiger und sehr ermunternder Schritt.

Obwohl ich jeden Versuch von Apple willkommen heiße, ihre wachsende Anzahl von Benutzern zu sichern und zu schützen, kann die Malware-Erkennung in Snow Leopard bestenfalls nur als rudimentär bezeichnet werden: Dateien werden nur beim Download durchsucht, und dann auch nur, wenn dafür bestimmte Anwendungen verwendet werden (wie z. B. Safari, iChat oder Mail). Malware wird mit Hilfe einer statischen Pattern-Abgleichsdatei entdeckt. Die bei Snow Leopard mitgelieferte Datei enthält nur Definitionen für zwei Malware-Typen: OSX_RSPLUG und OSX_KROWI. Der Update-Mechanismus, der für diese Viren-Pattern vorgeschlagen wird, ist die standardmäßige Software-Update-Technologie von Apple. D. h., dass Updates auch unregelmäßig erfolgen können. Echtzeit-Updates sind jedoch nötig, um die raffinierten Bedrohungen von heute zu bekämpfen. Es scheint keine Echtzeitsuche (Suche bei der Ausführung einer Datei) und keine zentrale Verwaltung oder Berichterstellung zu geben.

Der Trojaner RSPlug (Oktober 2007) überträgt die Malware DNSChanger, und Krowi ist die Malware, die für die Erstellung des ersten OSX-Bot-Netzes verantwortlich ist und in verschiedenen Raubkopien beliebter Mac-Anwendungen versteckt gefunden wurde. Kein Wort von der Malware-Familie Jahlav, die im Moment ihr Unwesen treibt. Tatsächlich wurde deren neueste Variante erst diese Woche vom Trend Micro Mitarbeiter Feike Hacquebord entdeckt. Die Malware versteckt sich in angeblichen Raubkopien von Snow Leopard selbst.

Sowohl RSPlug als auch Jahlav sind bekannt dafür, sich als Installationsmethoden für Video-Codecs auszugeben, eine Vorgehensweise, die unter Windows seit Langem bekannt ist. Malware, die DNS-Einträge ändert, entführt direkt nach ihrer Installation Verbindungen zu Websites wie eBay, PayPal und einigen Banken-Websites. Oft unterscheidet die bösartige Hosting-Website, ob der Browser auf einem Mac oder einem PC ausgeführt wird, und reagiert dann mit dem passenden Trojaner. Es ist also auch hier die geschickte und erfahrene Malware-Branche, die jetzt begehrliche Blicke auf die Apple-Community wirft. Anzumerken ist auch, dass Mac-Foren regelrecht mit Spam-Nachrichten bombardiert wurden, die die Leute dazu aufforderten, die Hosting-Sites einer, wie sich herausstellte, koordinierten Kampagne zu besuchen

Diese Beispiele von Techniken, die sich in der Wintel-Welt bewährt haben, sollten eine lehrreiche Warnung für die Mac-Community sein. Und es scheint, als ob Apple endlich zuhört. Malware gab es auf der Mac-Plattform schon lange vor dem Betriebssystem OSX. Das Gleiche gilt für Anti-Malware-Tools. Der radikale Wandel der Malware-Branche, gepaart mit dem Riesenerfolg von Apple in den letzten Jahren, macht es jedoch nur noch wahrscheinlicher, dass diese Entwicklung für bösartige Zwecke ausgenutzt wird. Die Kosten hierfür wird der Endbenutzer in den kommenden Monaten und Jahren zu tragen haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*