Mac 5.1, OS 10.14.6

Tag zusammen, ich hatte noch nie damit zu tun – jetzt ist es mir nach über 30 Jahren Mac doch passiert: ich habe eine Email von vermeintlich bekanntem Absender gekriegt (die Adresse auch in Mail gecheckt), dann auf einen Anhang („Capture.PNG“) geklickt, daraufhin springt ein Browserfenster auf und ich lande auf einer Seite, die heißt „Absender.bubbleapps.io/”, wobei „Absender“ hier Platzhalter für den realen Namen ist.

Auf dieser Webseite steht allerdings nur „File not found“ und es tut sich nix. Ich wurde auch nicht aufgefordert irgendwas einzugeben.

2 Stunden später kam vom Absender eine neue Email, es seien unautorisierte Mails in seinem Namen versandt worden.


Wie ist Eure Einschätzung? Bin ich mit dem Schrecken davon gekommen oder könnte sich doch irgendwas eingenistet haben?

Habt Ihr einen Tipp für einen Freeware-Virenchecker?

Danke vorab!
Werner

Der Anhang war kein echter Dateianhang, sondern ein Link, der als Bilddatei getarnt war. Solche Phishing-Mails verstecken einen Hyperlink zu einer externen Webseite. Es wurde ein Browser geöffnet und die URL aufgerufen - mehr nicht.
Die Seite auf bubbleapps.io zeigte nur "File not found". Die Phishing-Infrastruktur war bereits abgeschaltet oder der Angriff war ohnehin nicht auf macOS-Nutzer ausgerichtet. Du hast nichts heruntergeladen, kein Passwort eingegeben, keine Software installiert. Allein durchs Aufrufen einer Webseite kann sich auf einem Mac keine Schadsoftware installieren.
Auf Virensoftware solltest Du verzichten. Wenn es dich beruhigt: Einmal Malwarebytes laufen lassen.

Sehe ich ähnlich, bis auf den Punkt "Allein durchs Aufrufen einer Website kann sich auf einem Mac keine Schadsoftware installieren." Erst vor kurzem hat Apple Sicherheitsupdates herausgegeben, wo ohne Benutzerinteraktion Befehle auf dem Gerät ausgeführt werden konnten. War das Update auf iOS 18.6.2 und macOS 15.6.1.
Von daher macht man mit einem Check des Systems nichts verkehrt. Wird mir so ein Fall rangetragen, nutze ich von heise desinfec't. Hat den Vorteil, dass es von einem neutralen System startet. Ist allerdings nur für Abonnenten wirklich "kostenfrei". Und ich habe das bisher auch nur auf Windows-PCs loslassen müssen. Da es auf Linux basiert und einige Komponenten auch eine MAC-Unterstützung bieten, könnte es auch auf deinem altern Schätzchen laufen. Ist sogar wahrscheinlicher als auf den neueren Modellen.

Du kannst z.B. Malwarebytes Anti-Malware for Mac (Malwarebytes.app) kostenfrei nutzen, bei der kostenpflichtigen Version hättest Du u.a. noch einen "Echtzeitschutz" und einen automatischen Scan-Planer mit dabei.

Braucht man beides im Normalfall aber nicht und für einen einfachen Scan reicht auch die komplett kostenlose freie Version:



Nach der Installation 1x den Festplattenvollzugriff erlauben, 1x die Datenbank auf den aktuellen Stand bringen und dann den Rechner scannen.

Im Gegensatz zu Avira, Avast, Kaspersky usw. (all diese kostenfreien Scanner aus dem Windows-Umfeld) erkennt Malwarebytes relativ zuverlässig auch PUA (potentially unwanted applications) und auch solche Betrugssoftware (Scare-Ware) wie den MacKeeper.

"Relativ zuverlässig" sage ich deshalb, weil auch Malwarebytes leider nicht alles erkennt, aufgefallen sind mir da in letzter Zeit zum Beispiel "Sarafi-Extensions", die Dinge machen, die man nicht möchte (DNS-Abfragen "umbiegen" z.B.) oder auch bösartige Konfigurationsprofile (mit denen extrem viel möglich ist und wo man immer besonders vorsichtig sein sollte).

Aber ganz typische Kandidaten erkennt Malwarebytes sehr zuverlässig, allerdings in der kostenfreien Variante auch nur "Mac only" Trojaner & Co. (also keine Windows-Malware), aber das ist ja in Ordnung.

Wenn auch Windows-Malware zuverlässig erkannt werden soll, kann man sich aus dem App Store z.B. den Intego VirusBarrier Scanner besorgen (den gibt es schon seit Mac OS 8 bzw. 9 und der erkennt auch recht zuverlässig Windows-Müll).

...diese Aussage ist so – in ihrer Absolutheit – falsch.

ja richtig, zumal ich erst im Nachhinein gesehen habe, dass das macOS schon älter ist (10.14.6). Dieses System erhält seit 2021 keine Sicherheitsupdates mehr.
Der Browser sollte unbedingt aktuell sein, z.B. Firefox ESR (Extended Support Release), aber selbst die aktuellste ESR Version Firefox ESR 140.4.0 verlangt bereits macOS 10.15.
Ich nehme weiterhin an, dass nichts passiert ist, aber es gibt eine erhebliche Grundgefährdung durch das veraltete System.

Herzlichen Dank für Eure Antworten und Anregungen!
Als Browser nutze ich Firefox (der mir gerade ein Update auf 115.28.0esr anbietet). Den Tipp zu Malwarebytes kann ich nach dem Lesen der Website nachvollziehen, erfordert aber leider OS 11. Ich guck mal ob ich mit AVG Antivirus klarkomme, scheint laut Website aber recht komplex in der Installation.

Die ältere Version V4 von Malwarebytes ist auf der Website verfügbar

Also irgendwie ist es ja ziemlich schwierig Malwarebytes wieder loszuwerden.

Das ist Quatsch, Malwarebytes installiert zwar LaunchAgents und LaunchDaemons sowie einen eigenen Ordner in Application Support, aber das wird man ja alles auch wieder völlig problemlos los, und die App natürlich sowieso.

Du verwechselst das wahrscheinlich eher mit der Seuche MacKeeper, da ist das tatsächlich ein mittlerweile jahrelang währendes Katz-und-Maus-Spiel.

@sudoRinger: V4 ist installiert und auch schon "Open any File" als OSX.FakeFileOpener erkannt. Der Scan geht wirklich rasend schnell, hätte ich so nicht gedacht. Nochmal Danke für Rat und Hilfe! (Ist schon irgendwie geil, das Forum

Werner: Malwarebytes ist so rasend schnell, weil er halt auch wirklich nur Mac-spezifische Sachen in ganz bestimmten Bereichen des Systems bzw. Users sucht – das ist also nicht zu verwechseln mit einem "Full-Scan" des gesamten Rechners / Systems wie es z.B. der VirusBarrier von Intego macht – das dauert dann auch wesentlich länger.

Aber ist doch schon mal gut, wenn Du den OSX.FakeFileOpener los bist.

Ja, wenn man sich auskennt, aber als Otto-Normaluser im (System-)Library Ordner rumpfuschen zu müssen, na ich weiß nicht.
Mit dem Löschen der App war es jedenfalls nicht getan und ehrlich gesagt finde ich sowas auch nicht wirklich benutzerfreundlich.
Und außerdem telefoniert das ständig nach Hause.
Und eine Aussage gleich als Quatsch abzutun ist schlechter Diskussionsstil, nur mal so.

massi: Naja, es sind nun mal keine Kernel Extensions oder ähnliches, da würde ich Dir tatsächlich recht geben, dass das für eine "normalen User" nicht so einfach zu entfernen ist, insbesondere wenn man extra SIP aus- und wieder anschalten müsste oder ähnliches.

Wir reden hier von:


Und in den beiden LaunchDaemons und dem einen LaunchAgent sieht man, das diese ausschließlich in /Library/Application Support/Malwarebytes/ schauen.

Dies zu entfernen wenn man es denn "deinstallieren" möchte halte ich nicht für "ziemlich schwierig" um Dich zu zitieren, ja nicht einmal "schwierig" – und allein darauf bezog sich mein "Quatsch", war also in jedem Fall nicht persönlich gemeint und wenn es so rübergekommen sein sollte, war das zumindest nicht meine Absicht, tut mir leid.

Intego VirusBarrier Scanner
nistet sich mit allen möglichen Erweiterungen ein und nervt, wenn man kein Abo abschließt oder nur ein Jahrespaket hatte. Seit dem ist Intego bei mir untendurch.

Bitdefender dagegen lässt sich schnell und einfach wieder entfernen.

Man kann Malwarebytes ganz elegant übers Hilfemenü deinstallieren, da braucht man nichts händisch zu löschen

Das ist natürlich sehr intuitiv...

Malwarebytes lässt sich ganz einfach über den entsprecehend vorgesehenen Menü Eintrag deinstallieren.

Der Intego VirusBarrier Scanner kommt aus dem Apple App Store und ist eine App, da nistet sich überhaupt nichts irgendwo zusätzlich ein!

Sprich, da gibt es nicht einmal irgend einen LaunchAgent oder LaunchDaemon und auch kein PrivilegedHelperTool oder ähnliches.

Zumal ich ja weiter oben schon erwähnt hatte, dass Kaspersky & Co. (also all diese unter Windows beliebten und sicher auch nicht schlechten Lösungen) einfach nicht das leisten, was ich von so einer App unter macOS erwarten würde, u.a. nämlich, das auch die PUAs etc. zuverlässig erkannt werden und auch Dinge wie MacKeeper als "Bedrohung" erkannt (es ist nämlich nichts anderes als "Angst-Mach-Software") und entsprechend entfernt werden können.

massi: Falls das ironisch gemeint war:

Hier lesen manchmal auch Software-Entwickler mit, die vielleicht dankbar für Anwender Rückmeldungen sind. Wie würdest du sowas denn intuitiver lösen?

Also andere Softwareentwickler machen das mit einem Uninstaller, der sich zusammen im DMG mit der App befindet. Da sehe ich dann gleich, daß ich die App nicht einfach durch löschen loswerden kann.

Das verstößt gegen Apples Designregeln für gute Software. Ein klassisches Macintosh-Programm darf keine Installation im technischen Sinne verwenden, also braucht es auch keinen "Uninstaller". Das Programm muss sich einfach durch Ziehen-und-Ablegen in einen beliebigen Ordner kopieren lassen und kann dann sofort gestartet werden. Installer sind nur für seltene Sonderfälle erlaubt, wo es technisch notwendig ist, mehrere Dateien aufgrund ihrer Funktion an bestimmte besondere Orte zu legen, zum Beispiel Fonts.

Wenn installationsähnliche Vorgänge nötig sind (wie das Anlegen eines Launch-Daemon), soll das Programm das bei jedem Start prüfen und fehlende Komponenten selbst einrichten. Dann ist es nur logisch, dass auch das Entfernen dieser Komponenten durch einen bedienerfreundlichen Menüpunkt im Programm erledigt wird.

Gut, aber ich würde eine Deinstallationsroutine jetzt nicht unbedingt im Hilfe Menü erwarten.
Und wie hier im Therad zu lesen, andere User ja auch nicht.

Da ist aber die Frage wie man den Begriff "installationsähnlicher Vorgang" definiert. Programme, die von einem DMG "installiert" werden, legen beim ersten Start über Skripte ja eine individuelle Umgebung an, also z.B. Preferences oder bestimmte Ordner, die benötigt werden. Die Möglichkeiten sind da im Vergleich zu einer "richtigen" Installationsroutine durch Sicherheits- und Sandboxing-Vorgaben zwar eingeschränkter, beim simplen Löschen der Programmdatei bleibt aber zwangsläufig ein gewisser Datenmüll zurück, den man dann entweder akzeptiert oder manuell löschen muss.

Das denken viele, aber das stimmt so nicht. Fast die gesamte Umgebung wird von macOS eingerichtet, nicht vom Programm selbst. Die meisten Programme "wissen" zum Beispiel überhaupt nicht, wo ihre eigenen Preferences-Dateien liegen und wie macOS die Einträge dort speichert.

Nur in Sonderfällen, wenn Apple ein Programm für eine bestimmte Funktion dazu zwingt, permanente Daten an besonderen Orten speichern zu müssen, zum Beispiel in einem "Application Support"-Ordner des Benutzers, legt ein Programm selbst zusätzliche Dateien an. Das macht niemand freiwillig. Wenn das Programm in einer Sandbox laufen muss, geht das auch überhaupt nicht.

Man kann sich sicherlich trefflich drüber streiten, ob Malwarebytes das jetzt "richtig" oder "falsch" macht, sollte es aber vielleicht auch in Relation zum Nutzen bewerten. Auch andere Programme hinterlassen "Leichen" über die sich niemand aufregt. Und massi, dass ein Programm, das jeweils die allerneuesten Malware-Definitionen zum Arbeiten braucht, "nach Hause telefoniert", liegt eigentlich in der Natur der Sache.

Ja, volle Zustimmung und wie gesagt liegt das in den meisten Fällen nicht an den Programmen. Es liegt an macOS, das diese Daten unter seiner eigenen Kontrolle angelegt hat. Diese Daten als "Leichen" zu bezeichnen, ist auch irreführend. Viele Benutzer installieren (äh… kopieren) ein gelöschtes Programm vielleicht später mal wieder und macOS stellt ihm dann alle benutzerbezogenen Daten nahtlos wieder zur Verfügung (was ein kleiner Teil von dem ist, was die "Magie" des Mac ausmacht).

Apple versucht seit macOS 13 die Sonderfälle, bei denen ein Programm gezwungen wird, Daten selbst außerhalb seines Wirkungsbereichs anzulegen, weiter zu reduzieren. Dinge wie Fonts und Launch-Daemons dürfen und sollen jetzt in den Programmen liegen. Sie werden dann beim Löschen eines Programms gleich mit gelöscht.

Schon klar, bei mir läuft LuLu und ich musste noch nie so oft den Dialog zum Zugriff auf eine entfernte IP wegdrücken, wie bei Malwarebytes. Praktisch bei jedem Klick im Programm kam der Hinweis, daß das Programm auf die IP von Malwarebytes zugreifen wollte.

Dass Programme "Leichen" hinterlassen ist mir schon bewusst und das stört mich auch nicht, aber wenn da irgendwelche Dämons gestartet werden, die von einem gelöschten Programm stammen und sonst für nix gebraucht werden, dann stört mich das schon, da es ja auch Rechenleistung(wenn vielleicht auch wenig) beansprucht, wenn der Dämon im Hintergrund läuft.

Ok das klärt mich auf, danke dafür. Ich bin kein Programmierer, aber nur zum besseren Verständnis. Das Programm übergibt beim ersten Start – mal am Beispiel der Preferences – aber schon die entsprechenden Parameter an die API von MacOS, die dann die nötige Datei erzeugt? In dem Fall vermutlich (Achtung Halbwissen incoming... ) irgendwelche Standardwerte an NSUserDefaults, die dann später je nach vorgenommenen Einstellungen des Users immer aktualisiert werden?

Das kann es beim Start machen, muss es aber nicht. Oft wird das so lange verzögert, bis der Benutzer tatsächlich zum ersten Mal etwas tut, wodurch eine Benutzerpräferenz, die vom Standard des Programms abweicht, dauerhaft gespeichert werden muss. macOS legt die Preferences-Datei also erst dann an, wenn das Programm irgendeine API aufruft, sich eine Präferenz des Benutzers merken zu wollen. Und das kann sich noch weiter verzögern, denn diese Daten liegen erst in einem RAM-Cache. Nur von Zeit zu Zeit und wenn ein Programm beendet wird, werden die Präferenzen vom RAM über den Systemdienst "cfprefsd" in Dateien übertragen.

In der Praxis kann aber schon das bloße Vorhandensein eines Fensters dafür sorgen, dass sofort Preferences angelegt werden. Der Benutzer erwartet ja, dass sich die Programme jeweils Position, Größe und Bildschirm ihrer Fenster "merken".

Auch da gibt es oft falsche Vorstellungen. Das Eintragen von Hintergrundprogrammen in den LaunchDaemons- und LaunchAgents-Ordnern führt nur dazu, dass macOS diese Dienste registriert. Das bedeutet nicht, dass diese auch gestartet werden. In der Regel starten die Dienste erst "on demand", wenn das zugehörige Hauptprogramm sie benötigt. Und wenn dieses Programm gelöscht ist, dann halt nie mehr.

Im Gegenteil: Wenn man zum Beispiel einen "PrivilegedHelper" einfach so löscht, ohne ihn vorher sauber beim System abzumelden, dann startet macOS tatsächlich Notfallmaßnahmen, die sich negativ auswirken können. In diesem Beispielfall würden die LaunchServices alle 10 Sekunden nach dem verlorenen Helper suchen und dies mit eifrigen Warnmeldungen im Systemprotokoll dokumentieren. Hier wird also erst dann unnötig Rechenzeit verschwendet, weil etwas gelöscht wurde.

Deine Erfahrung in allen Ehren, aber bei mir war es eine App außerhalb des Apple-Stores als Bundle und damals installierte Intego alles mögliche. Vielleicht ist das heute bei Intego anders, ich mache jedenfalls einen großen Bogen um die Firma.

Gerade noch mal geschaut: Die Programme können nach wie vor außerhalb des Apple-Stores heruntergeladen und gekauft werden.

Das mag ja sein, aber die Apps außerhalb des App Store haben andere Namen. Außerhalb des App Store gibt es alleine für den Mac vier (4) höherwertige Varianten der Intego VirusBarrier-Produkte.

Der VirusBarrier Scanner ist dagegen die stark eingeschränkte Fassung aus dem App Store. Programme aus dem App Store können nichts "installieren". Sie können ohne Mitwirkung und Genehmigung des Benutzers noch nicht einmal eine einzige Benutzerdatei öffnen.