Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
OSX akualisiert
OSX akualisiert
tk69
24.09.11
19:09
Hallo,
heute wurde OSX Lion "hinterrücks" aktualisiert.
Bis gestern standen (siehe Bild) nur 8 Einträge, heute 9 Einträge. Ist das schon eine Reaktion auf die neue PDF-Sache?
Hilfreich?
0
Kommentare
Turbo
24.09.11
20:29
Woher stammt das Bild, was du uns hier zeigst?
„Sei und bleibe höflich!“
Hilfreich?
0
cholesterin
24.09.11
20:33
sieht wohl ganz danach aus
@Turbo
Hilfreich?
0
sierkb
24.09.11
21:38
Die Datei
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist
welche wohl von diesem Progrämmchen ausgelesen und dargestellt wird, sieht in der Realität aber ein wenig umfangreicher aus, da gibt es ein paar Einträge mehr (insgesamt derzeit 20). Vor allem bei den zahlreich vorhandenen Variatonen von OSX.HellRTS (3 Variationen) und OSX.MacDefender.x (12 Variationen, A - O), streicht dieses Progrämmchen
kommentarlos
zusammen. Ungekürzt sieht die Liste derzeit (24.09.2011, 21:29Uhr) so aus:
Entweder stütze ich mich auf die Daten von Apple und seiner XProtect.plist. Oder ich stütze mich nicht darauf. Und wenn ich mich nicht auf diese Datenbasis stütze, dann sollte ich auch die Nomenklatura (hier: die Bezeichnungen der einzelnen Malware-Signaturen) der anderen Datenquelle verwenden. Und es mir nicht zusammenbasteln, wie mir es gefällt und vorgenommene Streichungen/Zusammenfassungen dann auch noch kommentarlos zu lassen. Apples XProtect.plist ist nicht ohne Grund derzeit bei Version 24 angelangt, bzgl. OSX.MacDefender.x hat es seitens Apple insgesamt 12 Signatur-Updates gegeben, alle notwendig geworden aufgrund des Hase-und-Igel-Spiels mit den betreffenden Schadprogramm-Schreibern, die ihr Schadprogramm fast täglich ein wenig abgeändert hatten und Apple daraufhin seine Signaturen täglich/stündlich folgend entsprechend nachführen/anpassen musste.
So wie die Liste dieses obigen Progrämmchens jedenfalls jetzt aussieht, ist sie nicht ehrlich. Weil sie Informationen verschweigt bzw. sie geschönt darstellt.
Ein Blick direkt in die
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist
mittels Apples Property List Editor (/Developer/Applications/Utilities/Property List Editor.app) oder einem anderen PList-Editor oder auch einem direkten Blick in XProtect.plist via beliebigem Text-Editor (ist ja eine gewöhnliche XML-Datei) ist da sicher sinnvoller und empfehlenswerter. Auf diese Weise ist wenigstens ein ungeschminkter Blick auf die XProtect.plist möglich. Ebenfalls per GUI.
tk69
Ist das schon eine Reaktion auf die neue PDF-Sache?
Der letzte Eintrag, der bzgl. OSX.Revir.A, der ist im Zuge dieser Meldung
gestern abend hinzugekommen, ja. Bzgl. im Zusammenhang mit PDFs daherkommenden Schadprogrammen hat es in der Vergangenheit schon welche gegeben und wird es wohl auch in Zukunft welche geben. Das Thema wird die IT-Welt sicher noch eine Weile auf Trab halten, da PDFs bzw. präparierte PDFs ebenso wie präparierte Flash-Werbebanner sich zum beliebten Transportvehikel für so ein Zeugs gemausert haben und von der Schadprogramm-Mafia gerne für den Transport, die Verbreitung und als "Enterhaken" eingesetzt werden, um sich z.B. in eine offene Lücke/Schwachstelle eines PDF-Readers (z.B. Adobes Reader oder auch Apples PDFKit) oder Flash-Players einzuklinken (und von diesen Schwachstellen und Lücken haben Adobes PDF Reader und vor allem Adobes Flash-Player ja nicht wenig bzw. diese beiden machen immer wieder und fast regelmäßig bzgl. sowas auf sich aufmerksam, wie wir alle inzwischen wissen).
Hilfreich?
0
tk69
24.09.11
22:11
@sierkb
Na, da lag doch meine Vermutung richtig.
@Turbo
Ist ein Progrämmchen von MacMark.
Hilfreich?
0
Turbo
24.09.11
22:26
Danke schön für die Infos!
„Sei und bleibe höflich!“
Hilfreich?
0
s_ko
24.09.11
22:43
Meine XProtect.plist ist vom 9.8.11. Aktualisiert sich leider nicht. Mit sudo /usr/libexec/XProtectUpdater erhalte ich immer die Fehlermeldung "XProtectUpdater[5962:4203] Unable to verify signature: Error Domain=com.apple.security Code=-25307 "The operation couldn’t be completed. (com.apple.security error -25307.)" UserInfo=0x7f9fb0c2d2e0 {FailingMethod=SecManifestVerifySignature}".
Hilfreich?
0
s_ko
24.09.11
23:02
Ha, mit
sudo launchctl start com.apple.xprotectupdater
habe ich ihn nun zum updaten gebracht - theoretisch. Denn in der Plist sind bei mir nur 8 itmes?
Hilfreich?
0
s_ko
24.09.11
23:08
Die 8 itmes sind mit dem Property List Editor zu sehen. Mit MacMarks Programm komischer Weise 9 Einträge wie ganz oben?
Hilfreich?
0
sierkb
24.09.11
23:45
Edit:
Ich habe oben, um 24.09.11 21:38Uhr insofern einen Fehler gemacht als dass sich die 20 Einträge alle nur auf die XProtect.plist von
Snow Leopard
beziehen. Sorry. Die XProtect.plist von
Lion
hat
tatsächlich
nur 9 Einträge und auch nur 2 Varianten von OSX.HellRTS und 2 Varianten von OSX.MacDefender. Apple hat da für Lion gegenüber Snow Leopard wohl seine Signaturen insofern verbessert, als dass da nur 2 Signatur-Varianten notwendig sind, die alle erschienenen Fälle abdecken. So wie das bekannte AV-Programme auch gemacht haben (die sind auf dem Gebiet des Signaturschreibens sicher schon erfahrener als Apple, die damit ja grad' Neuland betreten). Deshalb dann wohl auch 2 getrennte Quellen (
für Snow Leopard und
für Lion) auf Apples Server, mit denen sich der XProtectUpdater synchronisiert.
Ich revidiere somit meine obige Aussage bzw. ändere sie bzgl. des obigen Progrämmchens (es ist oben oft genug genannt und verlinkt worden, ich will der Werbung dafür jetzt nicht noch mehr Vorschub leisten als ohnehin schon geschehen ist) ab und sage "Sorry" -- in obigem Screenshot wird die XProtect.plist für MacOSX Lion (und nur für Lion, für Snow Leopard gälte dann obig Gesagtes, da müsste sie dann länger sein und nach jetzigem Stand 20 Einträge umfassen) korrekt und nahezu 1:1 wieder (
nahezu
deshalb, weil OSX.Revir.A laut Plist-Datei als
public.unix-executable
klassifiziert ist und das oben im Screenshot dieses kleinen Progrämmchens (noch?) keine Berücksichtigung findet).
Die Sinnfrage für dieses Progrämmchen stelle ich aber trotzdem, reicht es doch aus, sich die XProtect.plist mit jedem beliebigen Text-Editor anzuschauen oder, wenn man's übersichtlicher und GUI-gestützt haben will, Apples PList Editor oder einen anderen PList-Editor zum Anzeigen des betreffenden Inhalts zu verwenden.
Nochmals ein "Sorry" mit der Bitte um Entschuldigung für die möglicherweise gestiftete Verwirrung und die fälschlicherweise von mir unterstellten Streichungen. Bzgl. Lion stimmt obiger Screenshot, und es ist im Großen und Ganzen inhaltlich nichts daran auszusetzen.
Hilfreich?
0
sierkb
25.09.11
00:02
s_ko
Die 8 itmes sind mit dem Property List Editor zu sehen. Mit MacMarks Programm komischer Weise 9 Einträge wie ganz oben?
Der Property List Editor nummeriert die Items durch beginnend mit der Null (0). In dem Fall also von Item 0 bis Item 8. In der Summe somit 9 Items. Hast Du das berücksichtigt?
Hilfreich?
0
zwobot
25.09.11
08:50
Hört sich ja an wie ein Windows Thread. Verstehe kein Wort
Hilfreich?
0
zod1988
25.09.11
11:52
Gott sei Dank bekommt man von dem Mist nichts mit.
Hilfreich?
0
Hot Mac
25.09.11
12:53
So könnte ich also in Erfahrung bringen, was mein System so alles erkennt.
Wow!
Jetzt kann ich endlich wieder ruhig schlafen.
Hilfreich?
0
s_ko
25.09.11
19:07
@skierb
Danke - habe die Null unterschlagen
Hilfreich?
0
MacMark
25.09.11
21:55
Apple hat mit Lion das Benennungsschema vereinfacht wie ich hier beschrieben hatte:
macmark.de/blog/osx_blog_2011-08-b.php Die Schädlingserkennung ist kürzer geworden, erkennt aber dennoch alles.
„@macmark_de“
Hilfreich?
0
tk69
29.09.11
17:35
Und jetzt hat Apple wieder die Datenbank aktualisiert. Punkt 10 ist hinzugekommen.
Hilfreich?
0
sierkb
29.09.11
17:52
tk69
Und jetzt hat Apple wieder die Datenbank aktualisiert. Punkt 10 ist hinzugekommen.
Aktueller Stand XProtect.plist:
Last Modification: Thu, 29 Sep 2011 04:16:18 GMT
Version: 28 (Snow Leopard), Items: 28 (0-27)
Version 1007 (Lion), Items: 10 (0-9)
Mit allein für
OSX.FlashBack.A
(Snow Leopard: Item 20 - 27; Lion: Item 10), 8
verschiedenen Signatur-Hashes, davon 7 neu hinzugekommen in den zurückliegenden 48 Stunden und auf einen Schlag ganze 6 in den zurückliegenden 4 Stunden (nachgeschaut gegen 07:00 Uhr).
Anscheinend kann man gar nicht so schnell gucken und Signatur-Hashes erstellen, wie davon immer wieder neue Abwandlungen auftauchen. Apples Security-Abteilung dürfte derzeit davon gut auf Trab gehalten werden, um immer wieder neue Signaturen in die XProtect.plist einzupflegen und die für die User auf deren Servern bereitzustellen.
Wenn das Tempo weiter anhält, dann dürfte das bislang voreingestellte Aktualisierungsintervall von 24h für den XProtectUpdater von MacOSX wohl ein wenig zu großzügig bemessen sein, und Apple sollte überlegen, ob sie MacOSX' diesbzgl. launchd-Dienst (/System/Library/LaunchDaemons/com.apple.xprotectupdater.plist) nicht häufiger auf Apples Servern nach Aktualisierungen für XProtect.plist nachschauen lassen als nur alle 24 Stunden (stattdessen zum Beispiel alle 12, 8, 6 oder gar alle 4 oder 3 Stunden, wenn die Schlagzahl weiter so anhält oder sich gar noch erhöhen sollte).
Hilfreich?
0
MacMark
10.10.11
00:23
Ich habe WallsOfTroy.app aktualisiert: Jetzt mit Sandbox auf Lion und mit weiteren Kategorienamen.
macmark.de/apps/wallsoftroy_de.php
„@macmark_de“
Hilfreich?
0
o.wunder
10.10.11
07:49
Was für ein alles erschlagener Thread Titel!
Ich würde nicht sagen das OS X aktualisiert wurde, es wurden lediglich Virendefinitionen aktualisiert, oder so....
Apple sollte die Lücken abstellen die diese Schadsoftware versucht auszunutzen. Ich hoffe Sie sind fleissig dabei das zu tun. Und vor allem natürlich auch Adobe, diese bad boys.
Übrigens:
Unter Snow Leo sind es mittlerweile schon 29 Einträge (bei mir)
Wer bietet mehr?
Hilfreich?
0
o.wunder
10.10.11
09:34
MacMark
Ich habe WallsOfTroy.app aktualisiert...
Schönes Icon.
Warum muss die App installiert werden und warum kann man sie nicht mit dem Installationsprogramm wieder deinstallieren?
Würde nicht ein einfaches kopieren der App ausreichen?
Hilfreich?
0
MacMark
10.10.11
09:56
Es ist die eingebaute OS X-Installer.app. Apple empfiehlt, diese zu nutzen, um die Rechte der Programmdateien korrekt zu setzen. Der OS X-Installer bietet meines Wissens keine Deinstallation. Zum Löschen brauchst Du nur die App selbst löschen, denn mehr wird nicht installiert.
Diese Malwares (Trojaner) nutzen keine Lücken im System sondern im User-Hirn. Und um dem User zu helfen, nicht darauf reinzufallen, erkennt das System diese Trojaner.
„@macmark_de“
Hilfreich?
0
tk69
02.11.11
18:38
Punkt 11 ist aktuell hinzugekommen:
OSX.DevilRobber.A
Hilfreich?
0
barbagianni
02.11.11
19:20
MacMark
Ich habe WallsOfTroy.app aktualisiert: Jetzt mit Sandbox auf Lion und mit weiteren Kategorienamen.
macmark.de/apps/wallsoftroy_de.php
Vielen dank MacMark! Ich habe dein Programm gerade installiert. Gut, jetzt kann ich die Liste sehen.
Wie kann man sehen ob mein System (10.6..) "irgendetwas" gefangen habt und in Quarantäne gesetzt hat?
Übrigens, für mich das Thema "Schädliche Programme" gerade interessant, auch weil ich mich heute mit dem CCC Chaos Computer Club bzw. mit der Nachrichten über den Staatstrojaner auf der CCC Webseite befasst habe.
Auch wenn ich ganz ehrlich bin glaube ich nicht wie oft berichtet dass es nur unter Win32bit läuft. Mein Instinkt sagt mir eigentlich dass es nichts stimmen kann. Denn der Staat will alle überwachen oder?
Hilfreich?
0
MacMark
02.11.11
21:28
Wenn XProtect einen Treffer hat, sagt Dir Dein Mac ausführlich Bescheid. Unter Quarantäne sind alle ausführbaren Downloads erstmal bis ein Admin sein Okay gibt.
Zur staatlichen Malware und den Macs:
„@macmark_de“
Hilfreich?
0
MacMark
05.11.11
20:23
sierkb
Die Sinnfrage für dieses Progrämmchen stelle ich aber trotzdem…
Die c't, die witzigerweise aus Deiner Stadt kommt, hat die Sinn-Frage jetzt beantwortet:
„@macmark_de“
Hilfreich?
0
tk69
04.04.12
15:34
Wieso ist beim letzten Eintrag keine "Art" genannt?
Hilfreich?
0
MacMark
04.04.12
19:58
Die Art ist bislang noch nicht vorgekommen: Nr. 18 ist ein Word-Dokument.
Ich werde das Programm ergänzen, so daß es in solchen Fällen auch eine sinnvolle Ausgabe für die Art liefert ohne daß ich es erst aktualisieren muß.
„@macmark_de“
Hilfreich?
0
MacMark
04.04.12
21:30
Aktualisiert.
„@macmark_de“
Hilfreich?
0
MetallSnake
04.04.12
21:48
Schade, die aktuelle Version setzt 64bit voraus. Ist also auf meiner alten Gurke aka MBP1,1 nicht zu starten.
Aber vermutlich wird eh Lion benötigt wegen dem Sandboxing oder?
Was mich aber wundert. Man kann sich auch beim Sandboxing Rechte zu Dateien aus dem System Verzeichnis verschaffen?
Und warum liegen in dem Verzeichnis /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources OS9 Icons?
„Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.“
Hilfreich?
0
MacMark
04.04.12
22:11
Habe sie nochmal geändert, daß sie auch auf 32-Bit läuft. Sandboxing wird auf alten Systemen einfach ignoriert und sollte kein Problem sein.
Alle Apps brauchen lesenden Zugriff auf bestimmte System-Dateien, um laufen zu können. Das Sandboxing in Lion dient größtenteils dazu, Dokumente vor fremden Apps zu schützen. Beispielsweise, damit WatchGrassGrow.app Deine Word-Dokumente oder Emails nicht sehen kann.
Welche MacOS 9-Icons meinst Du? Nenn mal eine Beispieldatei.
„@macmark_de“
Hilfreich?
0
MetallSnake
05.04.12
09:28
Jetzt läuft das Programm wieder bei mir.
Danke.
Die OS 9 Icons sind zum Beispiel:
AppleLogoIcon.icns
AppleMenuFolderIcon.icns
AssistantsFolderIcon.icns
und viele mehr.
Wie gesagt alle unter /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources zu finden.
Zumindest bei mir mit Mac OS X 10.6.8
btw: 50 Schädlings Definitionen!
„Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.“
Hilfreich?
0
tk69
05.04.12
11:47
Danke!!
Hilfreich?
0
MacMark
05.04.12
19:51
MetallSnake
In 10.7.3 sind diese Dateien anscheinend nicht mehr vorhanden,
Bei den 50 Einträgen in alten Systemen handelt es sich größtenteils um Varianten und nicht um grundverschiedene Schädlinge. In Lion sind die besser zusammengefaßt.
„@macmark_de“
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.