Habe seit mehreren Tagen Virusmeldung über angeblichen Trojaner. Gehe dann auf löschen und desinfizieren und weg ist er. Bis jetzt kein Ausfall oder so.
Wieso aber kommt die Meldung wieder?
Kann ich mir nicht erkläre. Weiß hier jemand Rat?

Also der erste Virus ist Kasperksy, der zweite wohl ein Email Anhang.

Habe jetzt erst einmal die Sicherung formatiert.

Ok!?

https://threats.kaspersky.com/en/threat/Trojan.PDF.Badur/

Laut der Info handelt es sich um "a PDF document “booby-trapped” with a link that leads to a site with questionable content", d.h. Du musst das PDF öffnen und dann kommst Du auf eine Website mit "fragwürdigem Inhalt". So wahnsinnig gefährlich scheint's also erstmal nicht zu sein.

Die Meldung erscheint vermutlich, weil die Datei als email Anhang gekommen ist und wahrscheinlich von der email-Software im entsprechenden Ordner ("/private/tmp/...") abgelegt worden ist. Eventuell kann Kapersky sie dort nicht löschen, sondern kopiert sie nur in den Quarantäne-Ordner. Das wäre zwar verwunderlich, aber bei Software gibt's ja nix, was es nicht gibt...

D.h. wenn Du jetzt den Quarantäne Ordner gelöscht hast, die Datei unter /private/tmp/... immer noch vorhanden ist, wirst Du beim nächsten Lauf von Kapersky wahrscheinlich wieder eine Fehlermeldung bekommen.

Oder anders gesagt: Das ist ein PDF-Dokument mit einem faulen Link drin.

Nicht lesen, Mail wegwerfen, gut. Also mit anderen Worten: Jeder, der genug Geistesgegenwart hat, nicht auf einen Anhang mit dem Namen "Temporär-gesperrt.pdf" aus zweifelhafter Quelle (und in dem vermutlich dann auch nochmal auf einen Link) zu klicken, hätte dieses Problem jetzt nicht gehabt.

Aber das Schlangenöl von Kasperski verschiebt den jetzt offensichtlich auch noch irgendwoanders hin, wo er nicht so leicht zu finden ist. Und produziert einen reißerischen Alarm, der die Leute verunsichert. Und hat vorher auch noch versucht (dieses Mal erfolgreich), das Dokument zu parsen. Und ggf. auch noch auf den Link "geklickt", um den zu prüfen.

Hierzu auch noch eine kürzlich passierte Anekdote aus meinem Berufsumfeld:

Ein Kunde rief mich an, weil die Alarmierung mit seinem extern gehosteten Alarmierungstool nicht richtig funktioniert. Dieses Tool alarmiert auf verschiedenen Wegen Bereitschaftsmitarbeiter, wenn es ein Problem mit der IT gibt. Dazu schickt es im vorliegenden Fall eine Mail und eine SMS, dann nach ein paar Minuten ruft es an, dann läuft eine Eskalationskette, bis jemand den Alarm annimmt.

Das funkioniert bei Mail durch das Anklicken eines Links in der Alarmmail. Der Rest funktionierte allerdings auf einmal nicht mehr, die Sprachalarme kamen nie und die Eskalationskette lief nicht mehr.

Nun betreibt der Kunde auch noch einen Sophos-Schlangenöl-Mailscanner, der Mail, die ankommt, auf Viren und ähnliches prüft. Und auf Links klickt. Auch auf den Bestätigungslink für die Alarme. Und damit war dann die Alarmierung zu Ende.

Schauen wir uns mal an, was Spammer machen, um Adressen zu verifizieren. Eine beliebte Methode ist das Einbetten von Bildern o.ä. in HTML-Mail, die dann vom Mailprogramm automatisch geladen werden. Die Links haben eindeutige Namen, und mit dem Abruf auf dem Mailserver ist dann die Adresse bestätigt. Resultat: Mehr Spam.

Leute, laßt das. Schlangenöl verursacht mehr Probleme als es löst.

Das ist nur ein Trojaner, kein Virus. Wenn Du den nicht selbst aktivierst, kann nichts passieren.

Ohne weitere Daten kann man nur raten. Es sieht aber so aus, als wäre der Trojaner in einem PDF-Anhang einer E-Mail. Wahrscheinlich wurde nur der Anhang gelöscht, aber nicht die Nachricht selbst. D.h. wenn Du die betroffene E-Mail mit dem Mail-Programm erneut aufrufst, wird der Anhang wieder vom IMAP-Server heruntergeladen und der Trojaner ist wieder da.

Es könnte auch noch viel simpler sein, dass Du einfach die gleiche E-Mail (SPAM?) nochmal bekommen hast.

Peter Eckel: +1!

Und sehr schöne Anekdote

Ich sehe das immer zwiespältig. Wenn man sich in einem Umfeld bewegt, in dem eher Computer-affine Leute unterwegs sind, würde ich Dir größtenteils zustimmen, Peter, aber selbst da werden Fehler gemacht. Du wirst jetzt vermutlich sagen, dass sowas ('nicht auf einen Anhang mit dem Namen "Temporär-gesperrt.pdf" aus zweifelhafter Quelle (und in dem vermutlich dann auch nochmal auf einen Link) zu klicken') zum Grundwissen oder eben zum "gesunden Menschenverstand" gehört, das oder den haben aber alle nun mal in verschiedener Ausprägung. Das Grundwissen könnte jeder Arbeitgeber vermutlich kostengünstig vermitteln, aber die meisten glauben dann halt leider immer noch, dass "irgendeine Software" es besser kann. Und dann sollen sie's halt so machen, dafür bezahlen und sich den ganzen Ärger ins Haus holen...

Habe übrigens gerade gemerkt, dass ich in meinem obigen Post ein durchaus wichtiges 's' in *Kasper* sky vergessen hatte, das reiche ich hiermit nach...

War sicherlich ein freudscher Vertipper

KoGro
da muss ich dir widersprechen. Du musst zwar kein Auto reparieren können, um eines zu fahren, aber du musst einen Führerschein machen und bei der Prüfung zeigen, das du manche Dinge gelernt und begriffen hast. Zuweilen wünsche ich mir so eine Art Computerführerschein. Arbeitgeber sollten im ureigensten Interesse dafür sorgen, das sie ihre Leute entsprechend schulen.
Der Mensch, der die Technik nutzt muss seinen Teil beitragen, damit das ganze funktioniert. Dieses sich blind auf Technik verlassen hat noch nie geklappt (auch wenn uns das Silicon Valley gern das Gegenteil weismachen möchte). Wer an einem Computer arbeitet muss sich bestimmte Verhaltensweisen angewöhnen (mitdenken, nicht auf jeden Mist klicken, ein gewissen Mißtrauen bewahren...). Ohne das geht es nicht. Wer das Gegenteil annimmt, der verseucht sich seinen Rechner, und wenns dumm läuft gleich die gesamte Firma mit. Die erwähnten Verhaltensweisen müssen uns in Fleisch und Blut übergehen, so wie uns allen beigebracht wurde, erst zu kucken, ob die Straße frei ist, und sie nur dann zu überqueren, wenn der Platz auch reicht. Als Ergänzung dann noch Malwarebytes installieren, damit man im Verdachtsfall nachprüfen kann ob was ist reicht dann auch schon aus. Aber die Menschen aus der Verantwortung entlassen und nur auf Technik vertrauen, da ist nicht die Frage ob es schief geht, sondern nur wann.

Mal zum Nachdenken:

Hat macos' eingebaute Antischadprogramm-Software (XProtect mit seinen Antimalware-incl. Trojaner-Signaturen, Malware Removal Tool.app, Gatekeeper, Quarantine-Framework) – also Apples eingebautes "Schlangenöl", wie es Einige hier immer wieder gerne bezeichnen, diese obig genannte Schadsoftware nun entdeckt, davor gewarnt, sie eliminiert, zumindest blockiert, oder nicht?
Hätte sie – also die systemseitig vorhandene und von Apple tief ins System eingebaute Lösung (einige bezeichnen es als Schlangenöl), die in Teilen exakt so funktioniert wie die Lösungen von Drittherstellern, nur auf einem viel niedrigerem Niveu und noch schlechter – sie nicht eigentlich erkennen, finden, blockieren müssen – noch bevor irgend jemand Anderes – sei es ein Dritthersteller oder Anwender – sie überhaupt entdecken und drauf aufmerksam machen oder davon betroffen sein kann? Ist sie nicht eigentlich dazu da, genau sowas rechtzeitig abzuwehren – systemseitig? Mal völlig frei vom konkreten Hersteller: Wer hat da im obigen Fall wo versagt – und zwar zuvorderst und zuallererst? Wer/was hat's nicht gefunden? Und wer/was hat's offenbar im Gegensatz zur ersten eingebauten systemeigenen Verteidigungslinie dann doch gefunden und warum?

MacUli
Du widersprichst mir gar nicht. Ich sehe das halt als air-bag für die, die unbedingt ohne Gurt unterwegs sein wollen.
Falls sich Gesellschaft und Gesetzgeber darauf einigen könnten, dass jeder, der sich mit einem Computer (oder einem "Device") im Internet "bewegt", dafür erst eine Prüfung ablegen muss, um Grundkenntnisse und insbesondere geistige Reife nachzuweisen, hätte ich kein Problem damit .Würde vermutlich sogar zum Umweltschutz durch Stromersparnis beitragen...

sierkb
Zuallererst wäre mal eine Bewertung nötig, inwieweit der von Kaspersky als "fragwürdig" bezeichnete Inhalt der Webseite überhaupt eine Bedrohung darstellt, oder ob das nur Kaspersky so sieht und entsprechend dann auch nur Kaspersky es findet.
Als nächstes wäre dann die Frage interessant, wann ein - wie auch immer gearteter - Sicherheitmechanismus greifen müsste. Vielleicht wäre Xprotect ja aktiv geworden, wenn versucht worden wäre, den link zu öffnen.

Nur so...
zum Nachdenken...

Zum weiteren Nachdenken (erst recht im Hinblick auf "ist doch nur ein Trojaner" – "nur"):

Ken Thompson (August 1984): Reflections on Trusting Trust
To what extent should one trust a statement that a program is free of Trojan horses? Perhaps it is more important to trust the people who wrote the software. (PDF, 3 Seiten)

ACM Digital Library (August 1984): Reflections on trusting trust

The Ken Thompson Hack

Wikipedia (de): Ken Thompson
Wikipedia (en): Ken Thompson

The Register (21.04.2010): C language inventor spurns Google's language exam
So Mr Thompson, you say you have some programming skills...

GopherCon Singapore 2018 (02.05.2018): Reflections On Trusting Trust For Go
The talk I gave at GopherCon Singapore 2018 about this Turing award paper "Reflections on Trusting Trust" by Ken Thompson. I also demoed a rudimentary practical implementation of the ideas in the paper.
My talk also touched briefly on 1 extra paper "Fully Countering Trust through Diverse Double Compiling" by David Wheeler.
The code demos used in the presentation can be found here. https://github.com/yeokm1/reflections-on-trusting-trust-for- go

Bruce Schneier (23.01.2006): Countering "Trusting Trust"

Wikipedia (de): Bruce Schneier
Wikipedia (en): Bruce Schneier



XcodeGhost war übrigens Ken Thompsons Hack bzw. Trusting Trust wie aus dem Lehrbuch umgesetzt:

Wikipedia (de): XcodeGhost
Wikipedia (en): XcodeGhost


Soviel zur angebl. Harmlosigkeit von "ist doch 'nur' ein Trojaner"…
Nein, Trojaner sind das genaue Gegenteil von harmlos. Erst recht, wenn dann auch noch gepaart – entweder direkt im sog. Dropper oder indirekt via Nachladefunktion – mit Wurm-/Virus-Eigenschaften (sich selbst replizierfähig) – und genau so eine Kombination, solche Hybriden sind mittlerweile gang und gäbe.

KoGro:

Kann man ganz einfach rausbekommen, ohne Draufzuklicken: schaue Dir an, ob XProtect.plist bzw. XProtect.yara die betreffende Signatur von diesem Trojaner beherbergt. Ist sie da drin in seiner kleinen hauseigenen Signatur-Liste, kann macOS es anhand dessen erkennen und blockieren, ansonsten ist das System diesbzgl. blind, und ihm entgeht es bzw. es rutscht ihm unterm Radar durch. Offenbar ist sie nicht drin, und auch die damit zusammenarbeitende MRT.app bzw. der MRT-Systemdienst hat/kennt sie offenbar nicht. Sonst hätte das System schon längst eine entspr. entspr. System-Warnmeldung gemacht und rechtzeitig blockiert bzw. gesäubert, und vor allem: Kasperskys Software hätte dann nix mehr zum Finden gehabt.

Warum? Lieber die Ungelernten bei jedem Mist bei der IT anrufen lassen und hinterher beschweren, dass die IT-Kosten so hoch sind.

Bruce Schneier Blog (03.10.2016): Security Design: Stop Trying to Fix the User

IEEE.org, Security & Privacy (25.10.2016): Bruce Schneier: Stop Trying to Fix the User , (PDF, 1 Seite)

Wikipedia (de): Institute of Electrical and Electronics Engineers (IEEE)
Wikipedia (en): Institute of Electrical and Electronics Engineers (IEEE)

sierkb
Also zum einen verstehe ich nicht, wieso Du zwei verschiedene Links zum selben Text postest, zum anderen bleibt er letztendlich das, als was ihn der Autor sogar selbst beschreibt: eine Meinung.

Die kann er gern haben. Und ich finde, er beschreibt die Problematik auch tatsächlich hervorragend. Was er aber komplett schuldig bleibt, ist ein konkreter Vorschlag, wie man es tatsächlich besser machen könnte. Insofern finde ich den Text tatsächlich nicht besonders relevant...

Und, mit Verlaub, wenn ich versuche, meinen Kindern beizubringen, dass es im allgemeinen eine gute Idee ist zu warten, bis der heiße Kakao ein bisschen abgekühlt ist, hingegen eine vielleicht weniger gute, den kleinen Bruder mit dem Nudelholz auf den Kopf zu schlagen, dann hat komischerweise noch nie jemand den Vorschlag gemacht, dass man irgendwie die Technologie des heißen-Kakaos-trinken verbessern und "user-freundlicher" gestalten müsste. Gut, die Nudelhölzer... ich merke gerade, die sind ein total schlechtes Beispiel, denn die könnte man ja echt mal in dicke, dicke Schaumstoffhüllen packen, dann müsste sich da keiner mehr Gedanken über die Sicherheit machen...

KoGro:

Einmal die offizielle Veröffentlichung seitens der IEEE, und einmal die Veröffentlichung in seinem eigenen Blog inkl. etwaigen Ergänzungen, Anmerkungen, Kommentaren.

Außerdem geht es ihm nicht darum, einen konkreten Lösungsvorschlag zu unterbreiten, sondern ihm geht es darum, die Perspektive mal etwas geradezurücken und deutlich zu machen, wer hier zuerst einmal gefordert ist statt dass immer recht bequem und schnell alle Verantwortung allein dem Nutzer zugeschoben wird, und der soll's dann richten bzw. soll zusehen, wie er mit dem Problem klarkommt, das das Gerät bzw. die Software durch Fehlerhaftigkeit bzw. ungenügende Sorgfalt/Abfederung seitens des Erstellers verursacht.

Darum geht's. Um dieses Framing, dass da stattfindet. Das kehrt er mit seinem völlig zurecht erhobenem Einwand um und stellt es vom Kopf auf die Füße. Grund-Tenor an die Hersteller: "Seid/werdet, als die Mehrwissenden, einfach besser, leistet euch weniger Fehler, baut eure Geräte/Software so, dass sowas eben nicht passiert, nicht passieren kann bzw. wenn doch, dann wenigstens rechtzeitig abgefedert wird. Statt euch vorschnell von eurer Verantwortung zu entlasten und diese Aufgabe allein dem Konsumenten/Nutzer zuzuschieben, der sich in seinem Verhalten und seinem Fehlerverhalten in der Masse nie groß ändern wird, weil er eben ein Mensch mit entspr. Fehlern und Schwächen ist, und darauf zu hoffen, dass er sich in der Masse ändert, vergebene Liebesmüh' und zu einfach gemacht ist."

Bei aller Diskussion, die Meldung erscheint jeden Tag. Ich lösche die Datei aber leider vergebens.
Komme somit nicht wirklich weiter.

Du hast oben die Rückfrage ignoriert, ob Du überhaupt die E-Mail, die diesen Anhang enthält, gelöscht hast. Wenn nicht, kann es völlig normal sein, dass der "fehlende" Anhang jeden Tag vom Mail-Programm rekonstruiert wird.

Da muss ich diese Mail mal suchen. Ja man sollte genau lesen. Nein E-Mail habe ich nicht gelöscht.

Irgendwie finde ich die E-Mail nicht. Was mich auch wundert, ist die Tatsache, das Kaspersky beim Scan der gesamten Dateien auch nix findet.

Jeden Morgen kommt aber wieder die Eingangsmeldung.
Ich habe direkt schon im Verzeichnis private/tmp gesucht und finde diese Datei nicht.
Wenn ich jetzt auf desinfizieren oder ignorieren gehe, dann ist die Meldung zwar weg aber erscheint pünktlich am nächsten Morgen.

Pymax

Wie Dir hier schon mehrfach gesagt wurde, wirst Du die Meldung erst los, wenn Du die inkriminierende Mail auf dem (IMAP-) Server gelöscht hast. Dazu musst Du sie aber erstmal finden. Das dürfte nicht so leicht sein. Deswegen empfehle ich Dir brute force:

Wenn Du mehrere Accounts hast, kannst Du durch (vorübergehendes) Sperren jedes einzelnen Accounts den schuldigen herausfinden. Dann mußt Du die in Frage kommenden Mails in diesem Account mit Datum von 6. Februar an rückwärts in einem lokalen Postfach sichern und anschließend auf dem Server löschen. Wenn Du das Zeitintervall groß genug gewählt hast, ist die böse Mail unter den gelöschten. Wenn Du besonderes Glück hast, entdeckt Kaspersky die böse Mail in Deinem lokalen Postfach von alleine. Anderenfalls kannst Du Kaspersky mit der Nase drauf stoßen.

Danke! Werde ich also mal in Ruhe suchen!