Bei Onkel Heise:

Erhöhte Rechte am Mac durch Norton-AV

Norton Antivirus und Symantecs LiveUpdate für Macintosh ermöglichen es einem angemeldeten Benutzer, Systemrechte zu erlangen. Die Komponente DiskMountNotify setzt nicht den Pfad, in dem sie nach ausführbaren Programmen sucht, sodass ein Anwender ihr eigene Programme unterschieben kann. Des weiteren könnte er den Java-Teil des LiveUpdates mit eigenen Parametern aufrufen und es damit steuern. Symantec hat Advisories veröffentlicht und verteilt Patches via LiveUpdate, die die Sicherheitslücken schließen sollen.
Anzeige


Siehe dazu auch:

Security Advisory zu Norton AntiVirus von Symantec:
Security Advisory zu LiveUpdate von Symantec:

Ich hatte vor längerer Zeit mal den Virex installiert - einfach weil der bei .mac kostenlos dabei war *hüstel* Das Ding hat nur Streß gemacht. Und wurde am Ende von Apple ja auch aus dem .mac rausgenommen. Norton bzw. Symantec-Sachen würde ich mir nur noch unter Androhung von körperlicher Gewalt kaufen... Hatte mit Norton AV unter Windows schon genug Ärger. Und das Intego-Zeug würde ich auch nicht kaufen, die erfinden sogar eigene Würmer um ihre blöde Software an den Mann zu bringen.

Ne, also derzeit ist ein Virenscanner aufm Mac so überflüssig wie ein Pickel am Hintern.

Ok, ok ... ich mach mal einen auf Positiv: "clamXav" ist problemlos und einfach, allerdings weiss ich nicht in wie weit alle aktuellen Windows-Viren und -Schädlinge gefunden werden...

Rantanplan: Du meint vielleicht so "überflüssig, wie ein Kropf am Nacken"

Don

Ja gut, Makroviren... Ich hab kein MS-Office, von daher kann ich nur hämisch bemerken: selber schuld, wer sich das zulegt. Wenn man nach der Installation auch noch einen Virenjäger braucht, nur um sein Office zu schützen, bitte.

VPC ist ja strenggenommen auch nicht mehr der Mac. Ein Virenscanner für das darin laufende Windows ist vermutlich sinnvoller, weil Virenscannen nun mal die Hauptbeschäftigung für Windows-Anwender ist und daher die dortigen Werkzeuge viel ausgereifter sind.

A propos Firmenfirewall.... Könntest du mir mal ein Szenario beschreiben, wie sowas aufm Mac (ohne Virenscanner) passieren soll? Mir fällt nur eine Möglichkeit ein: du leitest eine Mail von einem Windoofler einfach weiter. Wie soll denn sonst ein Virus in die Mail kommen?

Dieter

Ein Kropf am Nacken

Don

Sowas nennt man Outsourcing und ist ein moderner Trend

Meine Rede - schon immer. Jedes AV-Programm ist ein potentielles Sicherheitsrisiko, weil es unter hohen Rechten läuft und damit selbst perfektes Ziel eines Angriffs ist.

MacMark, genau, und ein virenscanner kann dir auch nicht 100% sagen ob du nun nen virus hast, oder eben nicht, also liegt das ergebniss irgendwo dazwischen... da kann man auch in ne glaskugel schaun, ob man nun nen virus hat oder nicht...

jetzt hätte ich eine Fraqe zu ClamXav!

Das Programm hat folgende Informationen gegeben:

……/Users/ich/Library/Mail/POP-web8p1@Meine Domain.de/INBOX.mbox/mbox: Worm.SomeFool.P FOUND

Wie soll ich rausfinden welche genau die Datei ist?
Hatte schon mal die Frage gestellt, leider könnte mir bis jetzt niemand helfen.

Benachrichtigung verg. … man wird Alt

Hier steht die Datei:
"……/Users/ich/Library/Mail/POP-web8p1@Meine Domain.de/INBOX.mbox/mbox"

Es ist der Mail-Eingang deines POP-Accounts von "Meine Domain.de" des POP Users "web8p1" ... aber welche Mail dort genau, kann man nicht ablesen!

vielen dank! ich weiss dass es ganz nett gedacht ist aber auf der Idee bin ich auch gekommen

Wieso kann das Programm nicht genau sagen welche Datei infiziert ist? keine Ahnung!

Normalerweise meldet sich Clam ja bei eingehende Mails, sodass du den Schuldigen schnell findest (i.d.R. aber auch ohne Clam, oder? "read_emediatly.pif" oder so… ). Wenn du jetzt rückwirkend deinen Mail-Ordner scannst, könnte das tatsächlich schwieriger sein. Stelle doch in den Voreinstellungen den Quarantäne-Ordner ein, dann solltest du Worm.SomeFool.P fein säuberlich extrahiert finden und gut ist.

ach, hatte Don ja schon geschrieben, sorry.

barbagianni

[i]Wieso kann das Programm nicht genau sagen welche Datei infiziert ist?[/b]

Das Programm sagt es doch, da allerdings mehrere Mail in der Datei enthalten sind incl. aller Anhänge (ASCII-codiert) geht es nicht genauer! Wenn Du mal einen Blick in die Datei wirst verstehst Du vielleicht die Problematik!?

Du kannst alle Mails oder die Anhänge einzeln in einem bestimmten Ordner speichern und ClamXav darauf anwenden. Besser wird es wohl kaum gehen!

barbagianni

Wieso kann das Programm nicht genau sagen welche Datei infiziert ist?

Das Programm sagt es doch, da allerdings mehrere Mail in der Datei enthalten sind incl. aller Anhänge (ASCII-codiert) geht es nicht genauer! Wenn Du mal einen Blick in die Datei wirst verstehst Du vielleicht die Problematik!?

Du kannst alle Mails oder die Anhänge einzeln in einem bestimmten Ordner speichern und ClamXav darauf anwenden. Besser wird es wohl kaum gehen!

ich habe jetzt die Quaranten Ordner aktiviert.
Kann ClamXav nicht die e-mail direkt einscannen sobald sie reinkommen?

Muss man was anderes einstellen was ich vergessen habe?

Doch, du kannst ja die "überwachten Ordner" einstellen. Dort deinen Mail-Ordner eintragen.

vielen dank! jetzt verstehe! ich habe den Mail-Ordner in der Liste eingetragen bzw. verschoben und sieht etwas aktivierte aus

Muss "Quarantäne" weiterhin aktiviert bleiben?

Wie kann ich jetzt die Mail die darhein verschoben worden sind identifizieren, bzw nachschauen von wem die standen?
die Datei sehen so aus : mbox.000, mbox.001, mbox.002 usw.

Du musst den Quarantäne-Ordner nicht aktiviert lassen, nur werden ggf. dann gefundene Viren eben auch nicht ausgegliedert, sondern verbleiben in der Mail. I.d.R. sind Viren in den Anhängen aber ja schnell auffindbar, haben ´ne .pif oder .exe-Endung und sind strunz-dummen Mails angefügt.

barbagianni
Also die zum aussortierten Virus gehörende Mail? Hmm, gute Frage… Ich habe keinen Quarantäne-Ordner und lösche immer von Hand. Bzw. wenn eine Meldung kommt, registriere ich´s nur und gucke mir dann die Mail an.

Hi schön dass du dich wieder meldest

Was ich versteh ist dass wenn man die Quarantäne nicht aktiviert hast bekommen man eine Meldung. Stimmt das?
Wenn es so ist dann wäre ich damit auch zufrieden und kann dann die Quarantäne ausschalten.

Ja genau. Du bekommst ´ne Meldung, aber alle Dateien bleiben, wo sie gerade sind.

Hi Ties-Malte.

ich habe jetzt ein paar tage mein Mail-Ordner überwachen lassen. Es kam keine Meldung. Ich habe mir gedacht super dann ist alles in Ordnung.
Dann heute habe ich das Programm direkt das Mail-Ordner scannen uns schau ehr, es sind Virus bzw. HTML.Phishing.Bank drin. Wie kann es sein?

dann habe ich mir heute das angeschaut.



Kennst du es.Ich habe nicht ganz verstanden wie da funktionieren sollte,. vielleicht checkst du es Besten Dank!

ni,
ich habe immer noch die 10.3.9 Version. Warum fragst du nach?

barbagianni:
Das Skript ist, soweit ich es verstanden habe, für Tiger-User gedacht @@ Ansonsten: Skript irgendwo hinpacken (z.B. Library@@Scripts@@Mail Scripts) und in Mail.app eine neue Regel erstellen, die für alle Mails das Skript ausführen lässt.

Ties-Malte
[/quote]

himuss man den Pfad im Script anpassen und diese dann mit dem Endung .scpt speicher?
Sorry, aber ich kenne nich noch nicht gut aus damit !

Vergessen!… denn ich habe eine regeler estellt und als ich sie gestartet habe, ist das Mail-programm abgestürzt.

Ties-Malte
[/quote]
Hi, glaubst du schaffen wir auch letzte schritt zusammen?

In dem Script ist zu lesen:
Assumptions:
- clamAV installed under /usr/local/clamXav

kann mir jemand erklären was ich tuen sollte?
ich habe das Programm darunter installiert: "Applications/Utilities-2/ClamXav-Antivirus/ClamXav"

Soll ich den Pfad anpassen?

Wo du das Skript hinlegst, ist eigentlich egal, ich habe es mir, wie gesagt, nach Library@@Scripts@@Mail Scripts gelegt, damit ich alle Skripte zusammen habe, aber du kannst auch jeden anderen Ort wählen. "Anpassen" in dem Sinne musst du wohl nichts, denn den Pfad zum Skript stellst du ja in der Mail-Regel ein (im oberen Bild unter "Auswählen").

Wie und ob das nun anders funktioniert, kann ich dir noch gar nicht sagen, ich hatte bisher, wie gesagt, kein Häkchen gesetzt bei mbox, sondern meinen Mail-Ordner einfach nur in die Liste der zu Beobachtenden gezogen, bin selber gespannt.

Ich meine vielleicht muss man diese Pfad richtig setzen?

Das steht in dem Script drin:

try
do shell script "echo " & quoted form of msgSource & "| /usr/local/clamXav/bin/clamscan --quiet --stdout -"


Wie gesagt ich habe ClamXav unter:
Applications/Utilities-2/ClamXav-Antivirus/ClamXav

Ich glaube hier liegt das problem … vielleicht!?!?

barbagianni
Joh, dort also führt das Skript (egal wo es liegt) hin, um den ClamAV-Scan auszuführen

Kopiere mal folgende Zeile in die Safari-Adresszeile und drücke return:

/usr/local/clamXav/bin/clamscan

Nun solltest du einen geöffneten Finder wie oben gezeigt vorfinden.

Hab mir zwar grad nicht alles durchgelesen, aber von Norton usw. kann ich auch bereits von meinen win Erfahrungen abraten....

Mit was ich bzw. wir und unsere Kunden zufrieden bin/sind ist eTrust von CA.
Find ich wirklich ganz klasse. Ist halt nicht grad einfach einzustellen. Hat aber zwei verschiedene Engiens am laufen!!!

VG
from

Muni:macosx:

so, heute bei abrufen von E-mails kam folgende meldung:

Something unexpected has happened to calmAV scan: Exit Code = -1700


Ich habe auf OK geclickt und dann … dann kam noch ein Fenster

Error Message: Date:

dann ein HTML Code
und ganz unten"""kann nicht in String umgewandelt werden

Ich wollte noch über was positiver berichten:


Es funtkioniert !!! sehr gut mit dem hinweise auf °°°°°INFECTED____

:-=))

hier ein screenshot

barbagianni

Hast du deine Mails von Panther auf Tiger migriert ??

Gruß
Kronar

barbagianni

Ich dachte, es wäre ein Migrationsproblem von Panther Mail zu Tiger Mail...
Und wieso dachte ich das, gestern nach dem Forumsbeitrag habe ich Clam AV mal meinen User ordner scannen lassen und siehe da, es wurde in der Datei mbox ein Trojaner gefunden (xxxx.pdf.exe). Ich alle meine Mails durchgeschaut und nichts gefunden, ok, also alle Mails aus dem Posteingang in einen lokalen Ordner verschoben und siehe da, die Datei mbox wurde immer noch angemeckert. Also Datei mbox (immerhin noch 13,7 MB groß) mit BBedit geöffnet und siehe da, jede Menge Mails waren dort. Auch eine mit dem gesuchten Anhang.

Anscheinend werden gelöschte Mails nicht wirklich aus der mbox Datei entfernt...

Also habe ich die mbox Datei archivert und Mail neu gestartet. Und siehe da, Mail legt keine neue mbox Datei an, sondern speichert jetzt jede Mail als emlx Datei einzeln ab, was das Auffinden und Löschen von Virenmails nun erheblich vereinfacht...

Ich habe halt gedacht, daß die mbox Datei ein überbleibsel meiner alten Panther Installation war...

Gruß
Kronar

Rantanplan

NAV ist Müll, richtig. Allerdings können Word Macroviren auf Office, erst recht auf VPC Schaden anrichten, nur soviel dazu. AUch macht es keinen recht guten Eindruck, wenn ein File an der FIrmenfirewall hängen bleibt, mit der Meldung XYC,Blala32Virus was found and removed. Der Gedanke die Leutz dadurch zum besseren zu bewegen, vernachlässigt leider das WIssen und die Faulheit der meisten Dosen…

Rantanplan

Eben, Mail an Siemensianer geschickt, böser Anruf, was mir einfällt einen Virus zu schicken…nur ein bisschen umständlich jedes File an die zum Scannen zu schicken :-D:-P

In börsen ist es ab und zu auch der Fall, das verseuchtes angeboten wird.

Mach mal ein Update der Engine, SIgnaturen…in Einstellungen kann das File auch in einen Quarantäne Ordner verschoben werden…