Hallo,

heute wurde OSX Lion "hinterrücks" aktualisiert.

Bis gestern standen (siehe Bild) nur 8 Einträge, heute 9 Einträge. Ist das schon eine Reaktion auf die neue PDF-Sache?

Woher stammt das Bild, was du uns hier zeigst?

sieht wohl ganz danach aus
@Turbo

Die Datei


welche wohl von diesem Progrämmchen ausgelesen und dargestellt wird, sieht in der Realität aber ein wenig umfangreicher aus, da gibt es ein paar Einträge mehr (insgesamt derzeit 20). Vor allem bei den zahlreich vorhandenen Variatonen von OSX.HellRTS (3 Variationen) und OSX.MacDefender.x (12 Variationen, A - O), streicht dieses Progrämmchen kommentarlos zusammen. Ungekürzt sieht die Liste derzeit (24.09.2011, 21:29Uhr) so aus:


Entweder stütze ich mich auf die Daten von Apple und seiner XProtect.plist. Oder ich stütze mich nicht darauf. Und wenn ich mich nicht auf diese Datenbasis stütze, dann sollte ich auch die Nomenklatura (hier: die Bezeichnungen der einzelnen Malware-Signaturen) der anderen Datenquelle verwenden. Und es mir nicht zusammenbasteln, wie mir es gefällt und vorgenommene Streichungen/Zusammenfassungen dann auch noch kommentarlos zu lassen. Apples XProtect.plist ist nicht ohne Grund derzeit bei Version 24 angelangt, bzgl. OSX.MacDefender.x hat es seitens Apple insgesamt 12 Signatur-Updates gegeben, alle notwendig geworden aufgrund des Hase-und-Igel-Spiels mit den betreffenden Schadprogramm-Schreibern, die ihr Schadprogramm fast täglich ein wenig abgeändert hatten und Apple daraufhin seine Signaturen täglich/stündlich folgend entsprechend nachführen/anpassen musste.

So wie die Liste dieses obigen Progrämmchens jedenfalls jetzt aussieht, ist sie nicht ehrlich. Weil sie Informationen verschweigt bzw. sie geschönt darstellt.

Ein Blick direkt in die mittels Apples Property List Editor (/Developer/Applications/Utilities/Property List Editor.app) oder einem anderen PList-Editor oder auch einem direkten Blick in XProtect.plist via beliebigem Text-Editor (ist ja eine gewöhnliche XML-Datei) ist da sicher sinnvoller und empfehlenswerter. Auf diese Weise ist wenigstens ein ungeschminkter Blick auf die XProtect.plist möglich. Ebenfalls per GUI.

Der letzte Eintrag, der bzgl. OSX.Revir.A, der ist im Zuge dieser Meldung gestern abend hinzugekommen, ja. Bzgl. im Zusammenhang mit PDFs daherkommenden Schadprogrammen hat es in der Vergangenheit schon welche gegeben und wird es wohl auch in Zukunft welche geben. Das Thema wird die IT-Welt sicher noch eine Weile auf Trab halten, da PDFs bzw. präparierte PDFs ebenso wie präparierte Flash-Werbebanner sich zum beliebten Transportvehikel für so ein Zeugs gemausert haben und von der Schadprogramm-Mafia gerne für den Transport, die Verbreitung und als "Enterhaken" eingesetzt werden, um sich z.B. in eine offene Lücke/Schwachstelle eines PDF-Readers (z.B. Adobes Reader oder auch Apples PDFKit) oder Flash-Players einzuklinken (und von diesen Schwachstellen und Lücken haben Adobes PDF Reader und vor allem Adobes Flash-Player ja nicht wenig bzw. diese beiden machen immer wieder und fast regelmäßig bzgl. sowas auf sich aufmerksam, wie wir alle inzwischen wissen).

@sierkb

Na, da lag doch meine Vermutung richtig.

@Turbo
Ist ein Progrämmchen von MacMark.

Danke schön für die Infos!

Meine XProtect.plist ist vom 9.8.11. Aktualisiert sich leider nicht. Mit sudo /usr/libexec/XProtectUpdater erhalte ich immer die Fehlermeldung "XProtectUpdater[5962:4203] Unable to verify signature: Error Domain=com.apple.security Code=-25307 "The operation couldn’t be completed. (com.apple.security error -25307.)" UserInfo=0x7f9fb0c2d2e0 {FailingMethod=SecManifestVerifySignature}".

Ha, mit
sudo launchctl start com.apple.xprotectupdater
habe ich ihn nun zum updaten gebracht - theoretisch. Denn in der Plist sind bei mir nur 8 itmes?

Die 8 itmes sind mit dem Property List Editor zu sehen. Mit MacMarks Programm komischer Weise 9 Einträge wie ganz oben?

Edit:

Ich habe oben, um 24.09.11 21:38Uhr insofern einen Fehler gemacht als dass sich die 20 Einträge alle nur auf die XProtect.plist von Snow Leopard beziehen. Sorry. Die XProtect.plist von Lion hat tatsächlich nur 9 Einträge und auch nur 2 Varianten von OSX.HellRTS und 2 Varianten von OSX.MacDefender. Apple hat da für Lion gegenüber Snow Leopard wohl seine Signaturen insofern verbessert, als dass da nur 2 Signatur-Varianten notwendig sind, die alle erschienenen Fälle abdecken. So wie das bekannte AV-Programme auch gemacht haben (die sind auf dem Gebiet des Signaturschreibens sicher schon erfahrener als Apple, die damit ja grad' Neuland betreten). Deshalb dann wohl auch 2 getrennte Quellen ( für Snow Leopard und für Lion) auf Apples Server, mit denen sich der XProtectUpdater synchronisiert.

Ich revidiere somit meine obige Aussage bzw. ändere sie bzgl. des obigen Progrämmchens (es ist oben oft genug genannt und verlinkt worden, ich will der Werbung dafür jetzt nicht noch mehr Vorschub leisten als ohnehin schon geschehen ist) ab und sage "Sorry" -- in obigem Screenshot wird die XProtect.plist für MacOSX Lion (und nur für Lion, für Snow Leopard gälte dann obig Gesagtes, da müsste sie dann länger sein und nach jetzigem Stand 20 Einträge umfassen) korrekt und nahezu 1:1 wieder (nahezu deshalb, weil OSX.Revir.A laut Plist-Datei als public.unix-executable klassifiziert ist und das oben im Screenshot dieses kleinen Progrämmchens (noch?) keine Berücksichtigung findet).

Die Sinnfrage für dieses Progrämmchen stelle ich aber trotzdem, reicht es doch aus, sich die XProtect.plist mit jedem beliebigen Text-Editor anzuschauen oder, wenn man's übersichtlicher und GUI-gestützt haben will, Apples PList Editor oder einen anderen PList-Editor zum Anzeigen des betreffenden Inhalts zu verwenden.

Nochmals ein "Sorry" mit der Bitte um Entschuldigung für die möglicherweise gestiftete Verwirrung und die fälschlicherweise von mir unterstellten Streichungen. Bzgl. Lion stimmt obiger Screenshot, und es ist im Großen und Ganzen inhaltlich nichts daran auszusetzen.

Der Property List Editor nummeriert die Items durch beginnend mit der Null (0). In dem Fall also von Item 0 bis Item 8. In der Summe somit 9 Items. Hast Du das berücksichtigt?

Hört sich ja an wie ein Windows Thread. Verstehe kein Wort

Gott sei Dank bekommt man von dem Mist nichts mit.

So könnte ich also in Erfahrung bringen, was mein System so alles erkennt.
Wow!
Jetzt kann ich endlich wieder ruhig schlafen.

@skierb

Danke - habe die Null unterschlagen

Apple hat mit Lion das Benennungsschema vereinfacht wie ich hier beschrieben hatte: macmark.de/blog/osx_blog_2011-08-b.php Die Schädlingserkennung ist kürzer geworden, erkennt aber dennoch alles.

Und jetzt hat Apple wieder die Datenbank aktualisiert. Punkt 10 ist hinzugekommen.

Aktueller Stand XProtect.plist:

Last Modification: Thu, 29 Sep 2011 04:16:18 GMT
Version: 28 (Snow Leopard), Items: 28 (0-27)
Version 1007 (Lion), Items: 10 (0-9)

Mit allein für OSX.FlashBack.A (Snow Leopard: Item 20 - 27; Lion: Item 10), 8 verschiedenen Signatur-Hashes, davon 7 neu hinzugekommen in den zurückliegenden 48 Stunden und auf einen Schlag ganze 6 in den zurückliegenden 4 Stunden (nachgeschaut gegen 07:00 Uhr).

Anscheinend kann man gar nicht so schnell gucken und Signatur-Hashes erstellen, wie davon immer wieder neue Abwandlungen auftauchen. Apples Security-Abteilung dürfte derzeit davon gut auf Trab gehalten werden, um immer wieder neue Signaturen in die XProtect.plist einzupflegen und die für die User auf deren Servern bereitzustellen.

Wenn das Tempo weiter anhält, dann dürfte das bislang voreingestellte Aktualisierungsintervall von 24h für den XProtectUpdater von MacOSX wohl ein wenig zu großzügig bemessen sein, und Apple sollte überlegen, ob sie MacOSX' diesbzgl. launchd-Dienst (/System/Library/LaunchDaemons/com.apple.xprotectupdater.plist) nicht häufiger auf Apples Servern nach Aktualisierungen für XProtect.plist nachschauen lassen als nur alle 24 Stunden (stattdessen zum Beispiel alle 12, 8, 6 oder gar alle 4 oder 3 Stunden, wenn die Schlagzahl weiter so anhält oder sich gar noch erhöhen sollte).

Ich habe WallsOfTroy.app aktualisiert: Jetzt mit Sandbox auf Lion und mit weiteren Kategorienamen.  macmark.de/apps/wallsoftroy_de.php

Was für ein alles erschlagener Thread Titel!

Ich würde nicht sagen das OS X aktualisiert wurde, es wurden lediglich Virendefinitionen aktualisiert, oder so....

Apple sollte die Lücken abstellen die diese Schadsoftware versucht auszunutzen. Ich hoffe Sie sind fleissig dabei das zu tun. Und vor allem natürlich auch Adobe, diese bad boys.

Übrigens:
Unter Snow Leo sind es mittlerweile schon 29 Einträge (bei mir)

Wer bietet mehr?

Schönes Icon.
Warum muss die App installiert werden und warum kann man sie nicht mit dem Installationsprogramm wieder deinstallieren?
Würde nicht ein einfaches kopieren der App ausreichen?

Es ist die eingebaute OS X-Installer.app. Apple empfiehlt, diese zu nutzen, um die Rechte der Programmdateien korrekt zu setzen. Der OS X-Installer bietet meines Wissens keine Deinstallation. Zum Löschen brauchst Du nur die App selbst löschen, denn mehr wird nicht installiert.

Diese Malwares (Trojaner) nutzen keine Lücken im System sondern im User-Hirn. Und um dem User zu helfen, nicht darauf reinzufallen, erkennt das System diese Trojaner.

Punkt 11 ist aktuell hinzugekommen:

OSX.DevilRobber.A

Vielen dank MacMark! Ich habe dein Programm gerade installiert. Gut, jetzt kann ich die Liste sehen.

Wie kann man sehen ob mein System (10.6..) "irgendetwas" gefangen habt und in Quarantäne gesetzt hat?

Übrigens, für mich das Thema "Schädliche Programme" gerade interessant, auch weil ich mich heute mit dem CCC Chaos Computer Club bzw. mit der Nachrichten über den Staatstrojaner auf der CCC Webseite befasst habe.

Auch wenn ich ganz ehrlich bin glaube ich nicht wie oft berichtet dass es nur unter Win32bit läuft. Mein Instinkt sagt mir eigentlich dass es nichts stimmen kann. Denn der Staat will alle überwachen oder?

Wenn XProtect einen Treffer hat, sagt Dir Dein Mac ausführlich Bescheid. Unter Quarantäne sind alle ausführbaren Downloads erstmal bis ein Admin sein Okay gibt.

Zur staatlichen Malware und den Macs:

Die c't, die witzigerweise aus Deiner Stadt kommt, hat die Sinn-Frage jetzt beantwortet:

Wieso ist beim letzten Eintrag keine "Art" genannt?

Die Art ist bislang noch nicht vorgekommen: Nr. 18 ist ein Word-Dokument.

Ich werde das Programm ergänzen, so daß es in solchen Fällen auch eine sinnvolle Ausgabe für die Art liefert ohne daß ich es erst aktualisieren muß.

Aktualisiert.

Schade, die aktuelle Version setzt 64bit voraus. Ist also auf meiner alten Gurke aka MBP1,1 nicht zu starten.
Aber vermutlich wird eh Lion benötigt wegen dem Sandboxing oder?

Was mich aber wundert. Man kann sich auch beim Sandboxing Rechte zu Dateien aus dem System Verzeichnis verschaffen?

Und warum liegen in dem Verzeichnis /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources OS9 Icons?

Habe sie nochmal geändert, daß sie auch auf 32-Bit läuft. Sandboxing wird auf alten Systemen einfach ignoriert und sollte kein Problem sein.

Alle Apps brauchen lesenden Zugriff auf bestimmte System-Dateien, um laufen zu können. Das Sandboxing in Lion dient größtenteils dazu, Dokumente vor fremden Apps zu schützen. Beispielsweise, damit WatchGrassGrow.app Deine Word-Dokumente oder Emails nicht sehen kann.

Welche MacOS 9-Icons meinst Du? Nenn mal eine Beispieldatei.

Jetzt läuft das Programm wieder bei mir. Danke.

Die OS 9 Icons sind zum Beispiel:
AppleLogoIcon.icns
AppleMenuFolderIcon.icns
AssistantsFolderIcon.icns

und viele mehr.

Wie gesagt alle unter /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources zu finden.

Zumindest bei mir mit Mac OS X 10.6.8

btw: 50 Schädlings Definitionen!

Danke!!

MetallSnake
In 10.7.3 sind diese Dateien anscheinend nicht mehr vorhanden,

Bei den 50 Einträgen in alten Systemen handelt es sich größtenteils um Varianten und nicht um grundverschiedene Schädlinge. In Lion sind die besser zusammengefaßt.