Dieser Artikel steht bei N-tv gerde als Topmeldung:



Kann der auch auf dem Mac sein Unwesen treiben??

nein.

Sieht wohl so aus als wenn nur Windows beroffen ist... *sick* *sick*

Grundsätzlich: Ja.
Und konkret den Mac betreffend: ebenfalls ein "Ja". Vor wenigen Monaten wurde bereits ein Botnetz aus kompromittierten Zombie-Macs ausgehoben und stillgelegt.

Nichts ist unmöglich.

JA, es kann grundsätzlich schon...

Dieses hier in seiner aktuellen Version noch nicht

Dieser wohl kaum. Setzt sich im MBR der Festplatte fest.

Das wäre aber eine neue Version des Trojaners.

Das auch Macs Teil eines Botnetzes werden können: Klar.
Das es auch für Macs Trojaner gibt: Klar.

Aber dieser Trojaner ist nach meinen bisherigen Informationen ein Windows-Trojaner.
Seine konkrete Frage war ja nach diesem einen Trojaner.

sierkb: Hast Du andere Infos als ich? TDL-4 setzt doch auf dll's und damit klar auf Windows-Techniken?! Zumal er sich im MBR festsetzt... den man in der Form wie ihn der Trojaner braucht nur hat, wenn man Bootcamp-Windows einsetzt.

Just for Info: GPT setzt auf MBR, versteckt es aber - also GPT ist auch betroffen...

Ja, aber auf andere Art und Weise. GPT benutzt den LBA0 nur dafür MBR-Systemen anzuzeigen, das die ganze Platte belegt ist. Die eigentliche GPT beginnt in LBA1.

Kann auch sein dass ich hier falsch liege , aber meinem Verständnis nach: bei reinen EFI-Systemen wird LBA0 zum booten doch gar nicht verwendet. Selbst wenn der MBR also infiziert ist, sollte dies nichts ausmachen. Das müsste aber mal jemand bestätigen oder widerlegen!

maybeapreacher:

Ja und? Dann wird das Teil halt gegebenfalls leicht umgeschrieben und passend gemacht auch für die Mac-Plattform. Oder hybride gemacht und dazu befähigt, dass es je nach Plattform entsprechend passenden Code in sich trägt oder bei Bedarf nachlädt.

Auch der gerade rumkreisende MacDefender ist nicht anderes als ein Rewrite eines schon länger bekannten Windows-Trojaners, WinDefender, selbst Microsoft klärt da über diesen Umstand und diese verwandtschaftlichen Beziehungen entsprechend auf:

Macwelt: Scareware Mac Defender: Microsoft sieht alte Bekannte am Werk
Die falschen Sicherheitsprogramme für den Mac kommen aus der gleichen Trojaner-Schmiede wie die bekannten - als Virenscanner getarnte - Plagen unter Windows.

Microsoft Malware Protection Center: Winwebsec gang responsible for FakeMacdef
Microsoft Malware Protection Center: Rogue:MacOS_X/FakeMacdef

Da sag ich ja auch nichts gegen. Dennoch kann dies die aktuelle Version nicht. Das man diese anpassen kann, erweitern, umschreiben etc. klar, hab ich nichts gegen gesagt und bin mir dessen voll bewusst.
Eine neue Version bekommt aber immer auch eine neue Bezeichnung und ist damit nicht mehr "dieser Trojaner".

Das andere ist eine simple Webweiche je nach Useragent. Wenn zum Beispiel der WinDefender so wie er ist auf MacOS X laufen könnte, bräuchte man keine Webweiche. Das man für jedes System Trojaner bauen kann sollte jedem klar sein.

Mac OS X verwendet keinen Master Boot Record.

Wäre es nicht eine recht einfache Abwehrmaßnahme, wenn sich mein Mac-Browser als Windows-IE ausgibt ?
(iCab könnte das z.B.)

Das ist Wortklauberei, findest Du nicht auch? Wenn jemand ein Botnetz aufsetzen und in Gang bringen bzw. betreiben will, dann kann der über solche Rosinenpickerei und Wortklauberei, ob das nun da draußen nun so oder anders benannt wird, nur müde lächeln (zumal es da leider keinen einheitlichen Benennungsstandard gibt und jeder ein- und dieselbe Malware sehr oft so bezeichnet wie ihm der Schnabel grad' gewachsen ist ).

Wer eine Plattform ernsthaft ins Visier nimmt, der sieht zu, dass er das auch erfolgreich schafft. Egal wie und egal mit welchen Mitteln. Wenn es sich rechnerisch und fiskalisch unterm Strich lohnt und ein höherwertiges Ziel damit in greifbare Nähe rückt, um damit dann auf irgendeine Art und Weise Geld oder noch mehr Geld zu machen, dann wird's probiert, dann wird's gemacht. Und leider auch mit zunehmender Hartnäckigkeit und krimineller Energie. Es wird solange probiert und ggf. angepasst und verändert, bis das gewünscht Ergebnis eintritt. Im Zweifel mit "Koste was es wolle" -- wenn am Ende eine Situation herbeigeführt ist, mit der man bzw. die Auftraggeber Geld oder noch mehr Geld machen können. Denn in den Kreisen spielt im Zweifel Geld und Ausrüstung keine Rolle mehr, um da irgendwelche Anschubfinanzerungen zu leisten (dafür sorgen die interessierten Leute im Hintergrund dann schon über i.d.R. zwielichtige Kanäle und Transfer-Geschäfte).

Da gebe ich Dir recht!

In diesem Sinne habe ich die Frage nicht aufgefasst, und deshalb, und wegen Arbeit hier auf dem Schreibtisch, mit dem "nein" geantwortet. Das dem normalen User nicht eingeredet werden sollte, der mac sei unbezwingbar, stimmt. Und in dem Sinne müsste die Antwort lauten "So wie er derzeit kursiert nicht, aber...".

Ein einfaches Ja würde, genau wie mein einfaches nein, aber zu kurz greifen.

Also nochmal, um des Ursprungsposters Frage zu beantworten, und nicht von möglichen und unmöglichen Möglichkeiten zu reden:Nein!

Denn seine Frage war:

Eine Abwandlung von dem da könnte es aber ...

maybeapreacher:
JesuMan:
und
Weder ihr beiden noch ich wissen, ob eine solche Abwandlung nicht bereits schon längst existiert oder wenigstens in der Mache ist und ob nicht schon längst irgendwelche gekaperten Macs Teil dieses Super-Bot-Netzes mit Namen TDL-4 geworden sind. Wir wissen einfach noch zu wenig drüber.
Deshalb mal sicherheitshalber vom "worst case" ausgehen und einkalkulieren, dass es durchaus im Bereich des Möglichen, denkbaren und technisch Machbaren liegt, dass sich dieses Bot-Netz auch einiger oder gar vieler Mac-Rechner bemächtigen könnte oder noch vorhaben kann/könnte das zu tun. In dem Bereich ist eigentlich grundsätzlich alles möglich.
Wir wissen noch zu wenig drüber, um da klar antworten zu können. Die tatsächliche Wirklichkeit kann da durchaus schon weiter gediehen sein als wir bisher wissen und nachlesen können.
Wie gesagt: es hat vor Monaten bereits ein Mac-only-Botnet gegeben, das entdeckt und stillgelegt owrden ist. Da ist also der Beweis schon angetreten worden und mit Fakten unterlegt, dass es nicht nur denkbar und möglich ist, sondern tatsächlich schon passiert ist, dass gekaperte Macs Teil eines solchen Botnets gewesen sind.

Was ist mit BootCamp?
Ich habe ne' Partition mit XP-Prof. angelegt um meine websites auf IE zu testen. Kann da was passieren? Hab' auf der WIN-Partition auch Kasperski Installiert - sollte ich mir den beschriebenen TDSS-KILLER installieren?

Andere Frage, was macht ein Botnetz?

Botnetz:

*sick*
Nein, könnte sie nicht, weil nicht eine Zeile Code gleich bleiben könnte und auch das gesamte Konzept bei uns nicht funktionieren würde, denn Mac OS X nutzt keinen Master Boot Record.

Das wissen wir nicht, wie der Code aussehen würde und welche Teile wiederverwendet und welche neu geschrieben werden würden.

Dann könnte bei EFI-Macs statt des MBR halt sein Äquivalent, die dort verwendete GPT, verwendet werden. Und im Fall von per BootCamp auf der Festplatte abgelegten Windows-Installationen dann der in GPT für den MBR reservierte kleine Schutzbereich.
Mann, das alles ist doch kein Buch mit sieben Siegeln -- für Leute, die da unbedingt reinkommen wollen schon mal gar nicht! -- wer da reinkommen will, der kommt da rein!
Wer die kriminelle Energie hat und Größeres vorhat, der nutzt sie auch und lebt sich da aus!

MacMark

Da sollte doch Little Snitch anschlagen ... ?

Seht den Thread doch mal psychologisch: Bei einer abstrakten Bedrohung gibt es immer Leute, die gleich vom Schlimmsten ausgehen (sehr gerne in Deutschland übrigens), und andere, die es zunächst mal gelassen angehen. Die erste Gruppe wird von der zweiten als Panikmacher bezeichnet ("Jetzt übertreibt mal nicht"), die zweite von der ersten als Naivlinge ("Ihr habt ja keine Ahnung"). Das war schon immer so, und das wird sich auch nicht ändern.

Hmm, bin zwar kein Programmierer, aber Schadsoftware ist doch immer wiederum auf eine Software (Betriebssystem) angewiesen, wird also dafür geschrieben. Da Windows und OS X zwei völlig, von Grund auf unterschiedliche Softwaresysteme sind, müsste ja auch die Schadsoftware jeweils einen völlig anderen Code haben. *grübel*

Wenn die Schadsoftware aber so geschrieben ist, dass sie z.B. aus mehreren Modulen besteht oder aus mehreren Teilen, die sich gegenseitig je nach Zielsystem gegenseitig nachladen, oder wenn der Türöffner ganz am Anfang zum Beispiel crossplatform-fähig ist wie z.B. ein Java-Schädling (ich erinnere da an den vor Monaten kursierenden Boonana, ein Java-basierter Schädling, welcher sich auch unter MacOSX einklinken konnte) oder Flash-Schädling, dann kann so eine Kette recht variabel und anpassungsfähig gestaltet sein. Und genau in diese Richtung geht derzeit auf dem Gebiet eine Entwicklung. Sich solange durcharbeiten, bis man am Ziel ist und mit mehreren anpassungsfähigen und genau auf die jeweilige Zielplattform bzw. deren evtl. bekannten Lücken passenden Schadprogrammteilen bzw. -routinen.
Da inzwischen und seit Anfang dieses Jahres in der einschlägigen Szene sogar Baukästen existieren, mit deren Hilfe man sich erstmalig auch den Mac ganz gezielt als Zielplattform auswählen und sich entsprechende Module zusammenklicken kann, ist sowas dann imemr weniger Hexenwerk, um sowas zu vollbringen. Wenn etwaige Lücken im Zielsystem diesen Kreisen bekannt sind, die noch nicht gefixt sind und in die man sich einklinken kann, dann wird das, wenn man auf diese Zielplattform unbedingt raufwill, auch gehen. Dann wird halt ein entsprechender Code, der in eine bekannte Lücke stößt, entweder gleich mit auf die Reise als Bestandteil der Vorhut mitgenommen, oder er wird ggf. nachgeladen, oder die Vorhut wartet und schlummert, bis die Nachhut mit dem benötigten Stück Code nachkommt.
Der Phantasie sind da keine Grenzen gesetzt, da sind inzwischen Dinge möglich und werden sich Mittel und Wege ausgedacht, da geraten selbst ausgefuchste Experten durchaus immer wieder ins Staunen, wie trickreich da vorgegangen und sich bis zum Ziel erfolgreich durchgearbeitet wird.

Eines sollten wir beim realistischen Betrachten solcher „Schreckensmeldungen“ aber auch nicht vergessen, mit Angst lässt sich sehr viel Geld verdienen.Das betrifft nicht nur die Hersteller der Antivirus-Software sondern auch die Versicherungsunternehmen, die Pharmaindustrie, die Printmedien und und und....

Insofern nehme ich solche Meldungen recht gelassen, da ich mich nicht so gern manipulieren lasse.

In 20 Jahren als Win-User hatte ich ein einziges mal eine Viruswarnung (ob nun echt oder getürkt, sei dahingestellt). In jetzt 4 Jahren OS X....kein Thema....

Was im Win-Bereich immer wieder Freude gemacht hat war der regelmäßige Clean-Install des Systems weil sich die Registry zugeknallt hat und kein vernünftiges Arbeiten mehr möglich war.

Da sich einige User an meinem Text sicher „stoßen“ werden betone ich hier ausdrücklich das es m e i n e Meinung zu diesem Thema ist, ich mit meinen bisherigen eigenen „Sicherheitsvorkehrungen“ (Surfverhalten, Umgang mit Mails usw.) gut gefahren bin und auch daran nichts ändern werde.

Grüße!
SaxMax

saxmax:

Nur mit dem Unterschied, dass diese "Schreckensmeldungen", wie Du sie nennst, immer mehr reale Züge annehmen und durchaus handfeste reale Tatsachen zugrndeliegen haben. Das sollte man auch mal zur Kenntnis nehmen. Und nicht die Augen davor verschließen und denken, dass das ja nur die Probleme der Anderen wären. Das Blatt kann sich auch mal ganz schnell wenden, und schwupps befindet man sich mittendrin im Fokus der Aufmerksamkeit und als ausgewählte Zielplattform.

Siehe in ähnlichem Zusammenhang auch jetzt den erfolgten Einbruch auf Apples Umfrage-Server (wohl nur um zu sehen und zu zeigen, dass es geht) und der wenige Tage zuvor gewesene Hinweis auf eine ähnliche Lücke auf Apples Developer Server. Sprich: was wollen die da auf diesen Servern? Was könnte da wohl Interessantes für die Einbrecher rumliegen?

Und wenn man mal ein bisschen weiterdenkt, dann kommt man durchaus ohne viel Phantasie auf sowas hier:


ZDNet: Apple: Holy Grail for hackers?
Sowohl der ZDNet-Autor als auch dieser heise-Leser stellen da die richtige Frage:
Und dass dieses Szenario gar nicht so weit hergeholt ist, das dürfen derzeit auch Sony und einige Millionen Playstation-Kunden spüren. Da hat sowas nämlich geklappt. Da sind Millionen Kundendaten und Kreditkartendaten in der Welt und in dunklen Kanälen verschwunden. Und Sony zahlt inzwischen Entschädigung an die diesbzgl. Opfer.

Übertriebene Angst?

Bitte sierkb gewöhne Dir doch mal an Text nicht nur zu lesen und dabei schon eine vorgefasste Meinung im Kopf zu haben. Das hindert daran diesen Text auch zu verstehen.

Nichts von dem was Du schreibst streite ich ab, ich gehe nur a n d e r s damit um und setze mir selbst Prioritäten als sie mir von anderen setzen zu lassen.

Was ist denn die Voraussetzung damit dies geschehen kann... die Voraussetzungen sind doch ob ich die "Türen" öffne (Kreditkartenzahlung, Kundendaten preisgeben) odergeschlossen halte (mit Prepaid zahlen, es gibt Unmengen davon und sie werden problemlos akzeptiert und sind auch anonym).

Aber diese muss man Kaufen, das ist mit Wegen verbunden, das erfordert ein bisschen Aufwand und man ist ja so bequem, die Kreditkarte dagegen ist trendy, "hier habt ihr meine Daten ihr werdet sie ja nicht mißbrauchen.."

Im Supermarkt.... wow... Plastikgeld mit viiieeelen Daten...... aber gerne doch!

sierkb, genau dies stand in meinem Text:
Diesbezüglich meine Rüge das Du zwar gelesen aber nicht verstanden hast.

Natürlich macht mich das nicht automatisch immun für alle Zeiten..... aber vieles liegt im Bereich der eigenen Fahrlässigkeit, Gedankenlosigkeit, Trendanpassung (Facebookoffenbarungen z. B. werde ich nie verstehen) und zumindest dies kann mit entsprechendem Verhalten geändert werden.

Grüße!
SaxMax

Was wirst'n so aggressiv? Ich habe auf einen ganz bestimmten Teil Deiner Aussage Bezug genommen. Und damit keineswegs Dein persönliches Verhalten in Abrede gestellt oder schmälern wollen.

Zumal Du konsequenterweise, als lesender und schreibender Benutzer von MTN, dann auch hoffentlich und brav einen Ad-Blocker installiert hast und den auch bzgl. MTN aktiv geschaltet hast, um auch da an dieser Stelle Dein persönliches Verhalten in vorbildlicher Weise fortzuführen (egal, ob das den MTN-Verantwortlichen nun passt oder nicht). Damit Dir z.B. per Werbebanner-Netzwerk auch hier bei MTN nicht evtl. ein verseuchter (Flash-)Werbebanner untergeschoben werden kann.

Mmh... aggressiv war dies eigentlich nicht gemeint, eher vielleicht belehrend.

@saxmax

Ich gehe genauso gelassen mit der "Panikmache" auf Macs um. Seit Jahren ohne Scanner und ohne Probleme.

Mußte mich in einem anderen Thread auch schon von dem Kollegen hier therapieren lassen, bei dem scheint der Virenscanner ja täglich anzuschlagen... was der wohl falsch macht?

Auch habe ich noch nie gehört das einer der gekaperten PCs oder deren Nutzer zu Schaden gekommen wären. Die Ameisen hinterm Haus stören mich auch nicht, ich höre sie nicht.

Also manche.......

Grüße an unseren Forenprediger

saxmax:
Banker9090:

Warum wohl gab's da vor 3 Wochen dieses bestimmte Security-Update von Apple, welches die XProtect.plist dynamisch mit neuen Signaturen versorgt und damit de-facto nichts anderes macht als das, was jede andere AV-Software im Grunde auch macht? Nur dass der XProtect-Mechanismus auf viel niedrigerem Niveau spielt, viel weniger Signaturen umfasst, viel leichter umgangen werden kann und auch sonst viel weniger Möglichkeiten anbietet als eine herkömmliche AV-Software?

Hatten die bei Apple Langeweile, oder warum haben sie sich zu diesem Schritt entschlossen? Was kommt als Nächstes? Ein erweitertes XProtect vollends auf AV-Software-Niveau, so wie es Microsoft inzwischen auch anbietet?
Apple hat sich schon längst eingelassen (müssen) auf diese Problematik bzw. ist dazu genötigt, gedrängt worden, beantwortet sie bisher aber noch mit relativ zurückhaltenden und eher rudimentären und insgesamt eher wenig wirkungsvollen Mitteln (weil sie so rudimentär sind und leicht umgangen werden können und auch sonst nicht durchgängig im System verankert sind). Die Frage ist, ob das wirklich ausreicht und ob das nicht vielmehr der sicht- und spürbare Einstieg ist in genau das, was man den Benutzern jahrelang hat glauben machen wollen, dass diese Problematik Apple und die Macs nie betreffen werde, weil sie a) die grundätzlich bessere Plattform hätten gemessen an Windows (was theoretisch stimmt, praktisch und unter der Haube jedoch leider nicht konsequent zu Ende geführt worden ist, sondern im Anfang steckengeblieben ist) und b) die sich den anderen gegenüber klüger und in IT-Dingen besser bewandert wähnenden Nutzer. Und beides sind die Mehrzahl der Nutzer angehend grundsätzliche Fehleinschätzungen und Fehlannahmen.

Ausdauer und Stehvermögen hat er.... das muss man ihm lassen

Das Problem ist nur das ich ihm in den meisten Dingen Recht gebe, diese nur anders händle...
Bisher hats so geklappt, wenn nun (oder später) nicht mehr hauts mich auch nicht um

Der Windows-Virus funktioniert so:

Das BIOS des PeeCee ruft den Boot-Loader auf, der neben der Partitionstabelle und anderen Dingen Teil des Master Boot Records (MBR) ist.
Der Boot-Loader ist mit dem Virus infiziert und übernimmt die Kontrolle, bevor Windows und AV-Software gestartet wird.

Ein Mac hat kein BIOS und die Platte hat in der Regel einen Dummy PMBR, der die gesamte Platte als voll markiert.
Der Mac bootet, indem die EFI-Firmware ihren Boot Manager startet, der einen EFI Boot-Loader aufruft, der dann Mac OS X startet.

Wenn am Mac jemand den PMBR manipulieren würde, interessiert das den Boot-Vorgang immer noch nicht.

Der MBR-Virus ist daher nicht auf Mac OS X umsetzbar, auch keine "Variante" davon. Um einen ähnlichen Effekt zu erreichen, müßte man einen EFI-Virus schreiben.

Du kannst keine Zeile Code wiederverwenden, weil der Boot-Loader des MBR in Maschinen-Code ist und EFI in C programmiert wird.
Der Bootvorgang und das System sind ebenfalls völlig anders, so daß Du auch das Vorgehen des Virus komplett ändern müßtest, auch was sein Verstecken nach dem Systemstart angeht.

Apples XProtect/Quarantine-Lösung durchsucht nicht die Platte (AV macht das) und überwacht nicht alle Dateioperationen (AV macht das), sondern erkennt bestimmte Trojaner während des Öffnens des Downloads. Dabei wird nach bestimmten Dateien insgesamt geschaut. AV sucht jedoch auch nach Mustern innerhalb von Dateien und überwacht auch Programmverhalten. AV hat daher ein viel größeres Risiko von falschen Fundmeldungen.
Wer sich die Trojaner-Liste anschauen möchte, das geht hiermit:

Das Suchen und Löschen war eine jeweils einmalige Sonderaktion von zwei Update-Prozessen, aber kein permanenter Zustand.

Mindestens, wenn nicht noch mehr. Es scheint sogar, als wären hier schon die einen oder anderen Neuronenverbände davon befallen. Oder zumindest von der Paranoia davor.

Nö. Kommt wohl drauf an, was für AV-Software Du hast und wie Du sie konfiguriert hast. Wenn Du sie bspw. so konfiguriert hast, dass sie nur bestimmte Verzeichnisse auf Änderungen überwachen soll und nur dann scannt, wenn sich da drin was ändert bzw. reingelegt wird (z.B. ~/Downloads, ~/Desktop, ~/Library/Mail oder/und ~/Library/Mail Downloads), dann macht sie nur das. Dann passiert da gar nüscht bis auf die Momente, wo sich da eben was ändert. Und man kann dann die betreffende AV-Software so konfigurieren und ihr sagen, was sie tun soll, wenn sie was Verdächtiges findet. Ob sie es erstmal zur näheren Inspektion in einen Quarantäne-Ordner verfrachtet, ob sie die betreffende Datei gleich löschen soll, oder ob sie schlicht nur informieren soll und ansonsten gar nichts macht und seine Hände in den Schoß legen soll. Anders arbeitet Apples Quarantine-Funktion auch nicht. Nur mit dem Unterschied, dass die Quarantine-Funktion viel weniger "weiß" und gegen irgendwas vergleichen kann und dass sie bisher nur informieren kann und ansonsten nichts unternehmen kann, selbst wenn der Benutzer es gerne so wollte, dass da irgendwas passieren soll. Bei AV-Software wie Clamav bzw. ClamXav kann der Benutzer genau wählen und konfigurieren, ob und wie und wieviel oder auch wie wenig passieren soll.

Siehe zuvor Gesagtes. Wenn Du als Benutzer nicht willst, dass sie das tut, dann tut sie das auch nicht (ich beziehe mich mit meinen diesbzgl. Ausführungen jetzt mal nur auf Clamav, andere AV-Software mag da evtl. anders geartet sein, was ich jetzt aber mal nicht vermute). Standardmäßig ist Clamav z.B. so konfiguriert, dass dessen Wächter (Clamav Sentry) NICHT automatisch läuft und über die von Dir bestimmten und vorgegebenen Dateioperationen wacht. Das kannst/musst Du ihm erstmal sagen und willentlich ausdrücken, dass Du das willst.

Und unter Linux und FreeBSD gibt's dazu ein extra Kernel-Modul, das der höheren Performanz wegen und des Datei-Zugriffs auf unterster Ebene wegen wahlweise noch zusätzlich hinzugeschaltet werden kann: Dazuko ,

ClamXav Sentry nutzt unter MacOSX was Ähnliches: MacOSX' FSEvents ,

Und wie gesagt: ClamXav Sentry kann als benutzerspezifisches Anmeldeobjekt eingebunden und beim Einloggen automatisch gestartet und dann über den clamd daemon permanent im Hintergrund laufen, muss es aber nicht. Standardmäßig ist es ausgestellt, der Benutzer muss explizit einschalten. Und dann hat er noch die umfassende Möglichkeit der Feinkonfiguration WAS überwacht werden soll und WANN überwacht werden soll. Und OB was geschehen soll, wenn was gefunden wird. Und WAS geschehen soll, wenn ewas gefunden wird. Es bestehen also umfangreiche Möglichkeiten, sich das ganze Ding ziemlich schlank und unauffällig zu halten, ohne dass irgendwo irgendwas in die Knie gehen muss oder in Mitleidenschaft gezogen wird.

Diese umfangreichen Wahlmöglichkeiten und Feinkonfiguration gibt es mit Apples auf der Quarantine-Lösung basierenden XProtect-Lösung bislang NICHT. Die ist klein und sehr bescheiden in dem was sie weiß (und damit in dem, was sie überhaupt mitbekommt; was sie nicht weiß, kann sie nicht erkennen, einordnen und klassiefizieren; und damit ggf. eine Warnung aussprechen. Und bisher weiß die kleine XProtect.plist-Datei auch nur einen Bruchteil dessen, was sie wissen könnte, das kann sich ja im Laufe der Zeit ja noch erhöhen und ändern, da haben wir ja bisher schon einen Vorgeschmack davon bekommen, wie schnell Apple da genötigt werden kann, diese fast im 24-Stunden-Rythmus wissender zu machen).

Und das tut die XProtect.plist mit ihren Signatur-Hashes nicht? Das tut die ganz genauso! Das Prinzip ist da genau dasselbe! Ob diese in Hashes abgelegten Muster nun in einer XML-Struktur wie der XProtect.plist abgelegt werden oder in einer binären Datenbankdatei, das ist hier wohl eher unerheblich.

Kommt aufs AV-Programm an und wie Du es konfiguriert hast.

Kommt auf den betreffenden Signatur-Schreiber drauf an, der den Signatur-Hash erstellt, oder? Ist er zu großzügig, kommen evtl. mal falsche Fundmeldungen zustande. Ist er zu eng begrenzt, dann darf er bei jeder kleinen Pissänderung, die auf Byteebene stattfindet, nachregeln und seinen Hash neu berechnen. Ist der betreffende Signatur-Schreiber erfahren genug, so wird er einen Hash, eine Signatur erstellen, welche gut ausbalanciert ist, welche weder zu lasch noch zu streng ist. Letzteres macht bisher Apple. Und durfte bzgl. MacDefender nahezu täglich, manchmal auch zweimal täglich, nachregeln. Man konnte ja schon fast die Uhr danach stellen und denen beim Nachregeln zuschauen. Die Frage ist, ob sie diesen Takt auf Dauer durchhalten und vor allem: durchhalten wollen, wenn sie in Zukunft desöfteren mal so einem "Katz und Maus-Spiel" ausgesetzt sind. Da war die Geschichte mit MacDefender und dem Test, wie schnell Apple da ihre Signaturen anpassen kann wohl vorerst nur mal eine kleine Probe aufs Exempel und gab so eine leise Ahnung davon, was da in dieser Richtung in Zukunft noch kommen könnte, wenn man es drauf anlegen würde und wenn man anfangen würde, die Mac-Plattform mal so richtig ins Scheinwerferlicht zu zerren und unter Dauerfeuer zu nehmen. Oder sowas alle paar Monate zu wiederholen mit wechselnden Methoden.
Da wird sich dann herausstellen, ob Apples bisheriger rudimentärer Ansatz über XProtect und deren bisher an den Tag gelegtem ständigen Nachregelnmüssens aufgrund sehr eng gezogener Hash-Grenzen nicht irgendwo dann eine gewisse Grenze erreicht hat und Apple dann die Methodik und Taktik wird ändern müssen schon aus reinen Praktikabilitätsgründen und Fragen der Selbstorganisation.

"die" Trojaner-Liste. Aha. Du meinst wohl eher: Deine von Dir aufbereitete Trojaner-Liste.
Nein Danke! Eigenwerbung, Eigenlob stinkt.

Dann lieber z.B. diese Liste hier (oder eine andere eines ähnlichen Anlaufpunktes): , . Der Liste setze ich mehr Lauterkeit und Vertrauen entgegen als dem, wofür Du da grad' für Dich selber wirbst.

Und wer sich die Malware-Liste mit den Bezeichnungen und Signatur-Hashes anschauen will, die Apple auf seinen Servern für uns bereithält und mit der die XProtect.plist auf dem eigenen Rechner standardmäßig alle 24 Stunden synchronisiert wird bzw. werden soll, der kann sie bei Apple hier finden:

MacMark:

Ist ja schön, dass Du mir gegenüber da jetzt den Erzählonkel spielen willst und mir erklären willst, was BIOS, Bootloader, EFI und Co. sind und wie sie funktionieren, aber ich sag' Dir mal was: ich weiß das schon, was Du mir da jetzt verklickern willst, ich bin auf diesem Feld nicht unwissend. Und es interessiert mich überhaupt nicht, wie Du die ganze Sache da siehst und welches Erklärungsmodell Du da hast. Du hast mit Deinen Erklärungsmodellen und Sichtweisen mir schon zu oft einfach falsch gelegen oder hast sie mir zu sehr nur in eine Richtung gefärbt dargelegt. Und im mildesten Fall haben wir beide da lediglich unterschiedliche Meinungen und Auffassungen.
Sieh mal einfach davon ab, mir da irgendwas erklären zu wollen, um mich auf Deine Linie zu bringen.

Das habe ich so auch nicht gesagt.

Genau das wollte ich von Dir hören. Genau das habe ich gemeint. Ja und? Dann wird's halt umgeschrieben! Dann heißt das Kind halt nicht mehr Lieschen sondern Heidi! Und hat als Zielvektor eben nicht mehr den MBR sondern GPT und EFI im Visier!
Und? Hält das irgendeinen Malware-Schreiber oder dessen Auftraggeber davon ab, es nicht doch zu tun? Und eine Malware oder Malware-Kette vom Anfang bis zum Ende nicht so variabel zu gestalten, dass, wenn man sich das als Ziel ausgesucht hat, dieses Ziel auch erreicht werden kann?

Du gehst anscheinend immer von dem Grundsatz aus: "Was nicht sein kann, das nicht sein darf!" Hundsfurz ist dieser Grundsatz in dieser Branche und in der Praxis wert! Was nicht passt, wird ggf. passend gemacht! Um ein höheres Ziel zu erreichen. Meinst Du, da wird in dieser Branche, die sowas vorhat, irgendwie Rücksicht genommen auf irgendwelche Unterschiede, die Du da jetzt feinziseliert rausgearbeitet hast? Wenn es irgendwelche Unterschiede gibt, dann werden die miteinkalkuliert und entsprechend berücksichtigt! Das sind doch Peanuts für die Leute, die sowas vorhaben! Wenn die auf die Plattform raufkommen wollen, dann kommen die da rauf! Und wenn da irgendwelche technischen Hürden zu nehmen sind, dann werden die i.d.R. auch genommen! Das hat die Erfahrung der letzten Jahre einfach gezeigt. Nichts ist solchen Leuten heilig, wenn die sich da einmal dran festgebissen haben. Die kriminelle Energie, die da hinter solchen Vorhaben steckt, die ist teilweise so groß, da sind diese Dinge, die Du da anführst, für die echt Peanuts.

Spielt doch alles keine Rolle, wir Macianer müssen uns da in der Regel weniger Sorgen machen als unsere Windows Kollegen

Und das ist auch gut so.

@sierkb und macmark:
ich habe verstanden:
ja, die sorge um viren etc. haben mehrere. sie ist auch begründet.
durch leute wie dich werden wir gottseidank in zukunft rechtzeitig gewarnt.

nein, die reale gefahr ist zur zeit immer noch sehr gering.
durch leute wie macmark lassen wir erstmal die kirche im dorf.