Super

und was genau ändert das Update am System?

vorallem es ist kein Neustart erforderlich.

Die "vagen" Angaben des verlinkten Dokuments nennen MacDefender explizit und mehrfach (jedenfalls wenn ich auf den Link drücke).

wer sein system fürs surfen nicht abschottet, ist selbst schuld, und wer nach jahren der berichterstattung über phishing-activities immer noch denkt, aus dem netz kommt unaufgefordert etwas gutes auf die maschine, ist einfach nur naiv.

MacOSX hat seit Snow Leopard diese Datei:

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

In der stehen, zwischendurch durch das eine oder andere MacOSX Update um ein oder zwei Einträge ergänzt, Namen von bislang 4 bis 6 (je nach Zählweise) Trojanern incl. deren Signatur drin:

• OSX.RSPlug.A
• OSX.Iservice
• OSX.HellRTS
• OSX.HellRTS
• OSX.HellRTS
• OSX.OpinionSpy
• [..]

Gegen diese Liste checkt die Quarantine-Funktion von MacOSX SL, sobald man sich was aus dem Internet runterlädt. Allerdings nur bei Programmen, die diese Quarantäne-Funktion auch nutzen und in Anspruch nehmen (nicht jedes Programm nutzt sie, auch nicht jedes Programm der Unix-Grundlage von MacOSX, Programme, die in der Shell, also im Terminal genutzt werden, nutzen diese Funktion nicht, sondern nur GUI-Programme).

Stimmt beim Durchlaufen des Quarantäne-Checks eine Malware-Signatur mit obiger Liste überein, wird der Nutzer bislang lediglich informiert, "dass da irgendwas ist". Nix weiter. Um den Rest, also das Aufspüren und das evtl. Entfernen, muss sich der Nutzer bislang selber kümmern und ggf. dazu Programme von Drittherstellern (i.d.R. AV-Programme) in Anspruch nehmen.

Das heutige Update ergänzt obige Liste um mindestens einen Eintrag MacDefender und seine verschiedene Varianten betreffend. Desweiteren bietet Apple wohl erstmals einen Schalter in den Systemeinstellungen im Bereich Security an, obige Liste regelmäßig und automatisch aktualisieren zu lassen, wie man auf den Screenshots im betreffenden Apple Support Dokument sehen kann. Also ein Novum und im Grunde ein ähnliches Vorgehen wie es vollwertige AV-Programme regelmäßig und ggf. mehrmals täglich tun und damit ihre Schadprogramm-Definitionslisten aktualisieren, nur halt in diesem Fall auf einem viel kleineren Niveau und nur obige kleine Liste und die kleine heutige Signatur-Ergänzung betreffend). Desweiteren entfernt dieses heutige Update MacDefender von bereits infizierten Macs (ebenfalls ein Novum).

Es hört sich danach an, dass heutiges Update lediglich MacDefender von evtl. infizierten Rechnern beseitigt, das eine einmalige Sache nur erstmal MacDefender betreffend ist und derzeit nicht auf andere evtl. auch noch mögliche oder in Zukunft auftauchende Schadprogramme ausgedehnt ist.
Mal abwarten, wie es sich entwickelt und welche Lösung konkret uns Lion anbieten wird.

Der in MacOSX Server (und deshalb wohl auch demnächst in Lion dann gleich mitgelieferte) und vielen anderen Unices ebenfalls gerne verwendete vollständige AV-Scanner Clamav und die MacOSX Desktop-Version ClamXav haben jedenfalls seit Tagen schon ihre Malware-Definitionslisten aktualisiert , dort befinden sich bereits die Erkennungsstrings nicht nur für MacDefender und seine inzwischen 8 verschiedene Unterformen, Bestandteile und Variationen, sondern auch für verschiedene andere Schadprogramme nicht nur den Mac betreffend, sondern auch andere Betriebssysteme betreffend.

Ein erster Blick in /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist nach dem Update zeigt: 2 Einträge sind hinzugekommen:

• OSX.RSPlug.A
• OSX.Iservice
• OSX.HellRTS
• OSX.HellRTS
• OSX.HellRTS
• OSX.OpinionSpy
• OSX.MacDefender.A
• OSX.MacDefender.B

Desweiteren gibt es neu neben der bekannten XProtect.plist eine weitere Datei namens /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist. In der XProtect.meta.plist steht drin, wann das letzte Update von XProtect.plist gemacht worden ist.

Zudem gibt es einen neuen launchd-Eintrag (/System/Library/LaunchDaemons/com.apple.xprotectupdater.plist) und -Dienst (/usr/libexec/XProtectUpdater), welcher alle 24 Stunden nachschaut, ob's was neues für die XProtect.plist-Liste gibt. Also im Grunde genauso wie das AV-Scanner auch machen, nur dass das hier auf einem viel niedrigeren Niveau stattfindet und Apple anscheinend nur maximal 8 Schadprogramme für den Mac kennen will, obwohl andere und vollwertige AV-Programme da schon längst mehr Mac-spezifische Signaturen haben. Bzgl. MacDefender will Apple z.B. nur eine A- und eine B-Variante kennen, es gibt mittlerweile aber bereits schon mindestens eine weitere C-Variante, und allein der Installer von MacDefender hat von den AV-Programm-Herstellern auch schon eine eigene Signatur bekommen für den Fall, dass man ihn zwar auf der Platte hat, der aber noch nicht ausgepackt und installiert ist.

Ich denke, das alles kann eigentlich nur oberflächliche und unzureichende Kosmetik sein seitens Apple. Über kurz oder lang werden sie nicht umhinkommen, auch unter MacOSX Desktop stattdessen einem vollwertigen AV-Scanner einzusetzen, der ein viel breiteres Spektrum abdecken kann und der auch viel umfangreicher nicht nur erkennen, sondern auch wirken kann. Clamav, welches Apple seit Jahren ja schon unter MacOSX Server einsetzt, böte sich da als naheliegende erste Wahl an. Und bei Lion kann der ja nur im Gepäck mit drin sein, wenn Apple sowohl Desktop als auch Server auf einem gemeinsamen Installationsmedium bzw. einer gemeinsamen Installations-Prozedur miteinander verheiraten und ausliefern will.

etwas was sich "MacDefender" hätte ich nie installiert

dom_beta:

Gehe nach /var/db/receipts/ und öffne Dir z.B. mit Pacifist oder auf der Shell die BOM-Datei /private/var/db/receipts/com.apple.pkg.update.security.2011.003.snowleopard.bom und schaue Dir den Inhalt an. Dann weißt Du es genau, welche Dateien dieses Update wo abgelegt oder verändert hat.

Neben dem XProtectUpdater und dem zugehörigen launchd-Skript und dem zugehörigen erweiterten Security PrefPane-Eintrag ist zumindest in der BOM-Datei auch eine /System/Library/CoreServices/MRTAgent.app bzw. /usr/libexec/MRT gelistet, doch die beiden letztgenannten scheinen bei mit zumindest nicht installiert/aktualisiert worden zu sein. Keine Ahnung warum nicht und was die bewirken, ich jedenfalls kann sie bei mir nirgends finden. Kann ja auch sein, dass MRT das Programm ist, was MacDefender von der Platte schmeißt und dann nur dort installiert wird, wo es dann sofort gebraucht wird (wobei: ein Skript wäre dazu sicher sinnvoller gewesen. Schlicht: ich habe im Moment keine Ahnung, was MRT und MRTAgent sind und machen sollen).

Mac OS X Lion - Now with Norton Antivirus build right in

Meine Glaskugel sagt, dass MRT für MalwareRemovalTool steht.

Zacks:

Oder Clamav. Das kennt Apple ja bereits seit Jahren und ist vertraut damit (immerhin bietet Apple auf seinen Servern sogar ein Handbuch dazu an: (PDF) ), und schlecht isses auch nicht.

pbr: das hört sich sogar gar nicht mal so unplausibel an. Nur: ist das Teil nur und ausschließlich dazu da, um MacDefender aufzuspüren, oder kann es auch andere Malware erkennen und wegputzen? Und wurde/wird's nur installiert, wenn's im Rahmen dieses Updates gebraucht wird, wenn's was vorfindet und ansonsten nicht?

Eigentlich müsste man sich jetzt mal die separate Update-Datei besorgen und da mal reingucken bzw. das betreffende Installer-Skript mal näher anschauen. Ich glaube, ich mache das mal eben neugierigerweise, die Datei ist ja nicht groß.

➜sierkb
Es ist schön leicht und bremst nicht aus, ich nutze es auf älteren PCs ganz gern Naja, mal sehn was der Löwe bringt.

Dieses Sicherheits-Update funktioniert übrigens erst ab dem aktuellen OS X 10.6.7

Heisst das, dass ältere Versionen nicht vor MacDefender geschützt werden müssen?

Habe mir eben nochmal hier bei Apple das Update separat runtergeladen und drüberinstalliert. Aus den Installations-Skripten wurde ich jetzt nicht unbedingt schlauer als vorher (das preinstall- und das postinstall-Skript gleichen sich bis auf einen winzigen Unterschied), wohl aber hatte ich, solange ich das DMG bzw. die inliegende .pkg-Datei offen hatte, sowohl /System/Library/CoreServices/MRTAgent.app als auch /usr/libexec/MRT als auch betreffende launchd-Skripte physisch tatsächlich auf der Platte vorhanden. Und es gibt wohl eine Installer-Datei namens loadMRT (welche nix anderes macht, als die betreffenden launchd-Skripte zu laden und damit zu aktivieren). Auch in der Aktivitätsanzeige waren sowohl MRTAgent.app als auch MRT zu finden, die liefen also beide im Hintergrund als daemon mit. Kaum habe ich jedoch den Installationsvorgang beendet und danach das DiskImage und die .pkg-Installer-Datei geschlossen, sind MRTAgent.app und MRT verschwunden, nichts deutet darauf hin, dass sie jemals liefen oder physisch auf der Platte installiert waren.

MRTAgent.app und MRT existieren und laufen, so scheint es mir, nur für den Zeitpunkt der Installation und solange der Installer und das DMG offen sind und werden vom Installationsprogramm nach getaner Arbeit (dem evtl. Entfernen von MacDefender) wieder aus dem Speicher und von der Platte entfernt als seien sie dort nie drauf gewesen.

emhamac:

Scheint so zu sein. Aber würde Dich das denn wundern? Wäre doch typisch Apple.

Das Sicherheitsupdate ist nur für Snow Leo?

Is ja wohl nicht wahr!

Demnächst unterstützt Apple nur noch zukünftige Systeme, da kann sich dann auch niemand beschweren.

Ab 10.6.5 gehen die Updates seltsame Wege

Apple nervt zusehens.

o.wunder
Tiger und Leopard sind nur was für natural surfer. Warmduschende page mover brauchen halt ’ne Viren-Nanny in Safari.

Nein Scherz, es gilt natürlich weiterhin:
1. Arbeiten immer in Umgebungen ohne Adminrechte
2. ClamXav benutzen
3. Augen auf & Hirn an.

Dann klappts auch auf "alten" Macs mit dem Internet.

Auch wenn sich inzwischen "jeder Affe ein iPhone ans Ohr hält", wie jemand anderer zu anderem Thema geschrieben hat: Ich hoffe, dass Apple die Rechnung serviert kriegt durch die Kunden, die anderes erwarten bzw. die etwas erwarten außer dem trendigen Stumpfsinn.
10.6 wird allerdings auch nach dem Update nicht jede Variante MacDefender erkennen - und der MacDefender scheint ja bisher auch eher für "jeden Affen mit iPhone am Ohr" und passendem Mac dazu zu sein: Also für aufgeklärte 10.5-Nutzer keine Gefahr.

Das ist leider der Weg den Apple zu gehen scheint.
Mobile Devices und iTunes- bzw. App-Store scheint die nur noch zu interessieren.

Der Rest ist leider nur noch Nebensache... dies ist zumindest mein Eindruck

Hihi,

die Deppen, die auf MacDefender hereinfallen, würden sich wohl auch bei ner Kaffeefahrt in Marokko eine Heilsalbe gegen die dort grassierende brandgefährliche Eichhörnchengrippe andrehen lassen.

Von den Deppen scheint es dann leider doch eine ganze Menge zu geben. Ich habe Beruflich damit zu tun und ich habe täglich genug Rechner auf dem Tisch stehen die in irgend einer Weise Viren, Trojaner Würmer usw. auf dem Rechner haben.

Die Rechner kommen vom normalen Anwender der einfach nur den Computer zum Surfen, Mailen, Briefe schreiben und ein paar Fotos usw. benötigen.

Jungs kommt mal von eirem hohen Ross runter, das alle Computerversteher sein müssen.
Das ist noch keine Realität !

ClausB2903Dem kann ich nur 100%ig zustimmen! Und es wird sich auch garantiert nie ändern, da der Computer nicht Selbstzweck, sondern Mittel zum Zweck ist.

@Claus:

DAS ist doch gerade der Punkt: Kein Mensch muss Computerversteher sein, er sollte nur möglichst nicht unglaublich dämlich sein, dann klappt das auch mit dem Mac oder vielleicht sogar mit nem Windoof-Dingens.

Private Nachricht schreiben
Was soll denn überhaupt ein Selbstzweck in dem Zusammenhang sein? Ein PC ist nun einmal ein Gerät, mit dem man bei unsachgemäßer Benutzung Schaden in der Bevölkerung/Allgemeinheit verursacht. Das äußert sich ganz konkret in einer höheren Monatsrechung, unnötiger Belastung der Infrastruktur und dadurch langsamere Datenübertragungsraten und höheren Latenzen, Spam und hohem Administrationsaufwand.

Würdest Du auch irgendjemanden mit einem Bagger in der Nähe von wichtigen Kabeln im Boden arbeiten lassen, der keine Ahnung von einem Bagger hat?

Was wäre, wenn da jemand direkt an dem Bürgersteig vorm Haus mit dem Bagger experimentiert? Bei einem groben Fehler fallen eventuell der Strom aus, Wasserleitungen müssen abgestellt werden, Internetverbindung sagt „auf Wiedersehen” und so weiter.

Fahren von PKW ist nicht so unähnlich, nur die Konsequenzen fallen im einzelnen Schadensfall direkter, offensichtlicher und teilweise deutlich schlimmer auf…

solche Leute brauchen keinen Rechner, sondern ein iPad. Ich hoffe, dass iOS 5 endlich Standalone-Geräte ermöglicht!

mich würden mal Beispiele von Seiten interessieren wo diese Virenmeldungen erscheinen. Ich hab's leider noch nicht geschafft.

Da kann man ja nur hoffen, dass XProtectUpdater die IP-Adresse, von der er die Liste holt, fest als Zahl eingebaut hat und nicht per DNS erfragt, sonst biegt der nächste Schädling bestimmt am DNS rum ...