ich habe heute eine mail von einem mac erhalten in der mit folgender zeile gezeichnet wurde:

Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.

kennt jemand das programm. ist das was?
(ja ich weiss, daß ich seit 1992 virenfrei auf meinem rechner arbeiten kann...erst mit os7, dann mit os9 und seitdem mit osx.)

trotzdem die frage: ist das programm gut, das hier beworben wird?
welche probleme sind bekannt?

Moin,
Avast ist auf Windows meiner Erfahrung nach ziemlich Verbreitet, da es eine Kostenlos Version gibt.
Auf Windows hatte ich nie Probleme damit.

Ich persönlich Bevrozuge auf Mac Sophos, ist ebenenfals Kostenlos für Mac.

Ich glaube die Seriösen bzw bekannten Antiviren Hersteller nehmen sich alle nicht viel,
100% sicher ist man nie

Wir in beim AASP haben bis jetzt generell nur schlechte Erfahrungen mit Antivieren Programmen jeglicher Art. Auf meinem Windows Gaming Rechner nutze ich Avast allerdings und das ohne Probleme. Auf meinen Macs würde ich aber keinerlei Antivieren Software installieren.

Das kann ich bestätigen. Die meisten "bekannten" Antivirenhersteller haben ihre Windows-Programme so schlecht auf den Mac portiert, dass sie dort oft mehr Schaden anrichten als ein Virus selbst.

Das einzig sinnvolle Programm für den Mac ist das kostenlose ClamAV. Es wird auch von Apple selbst innerhalb des Mail-Servers von OS X Server verwendet.

Mark Allan bietet den Virenscanner unter dem Namen ClamXav 2 als fertigen Virenscanner für den Mac an: Dort kann die Vollversion heruntergeladen werden. Es gibt auch eine Version im Mac App Store, die aber aufgrund von Apples Zensur nicht alle Funktionen anbieten darf.

ClamAV ist speziell für Email-Gateways.

Ist er nicht. Die Clamav-Engine (vergleichbar mit einer Browser-Engine beim Browser) ist diesbzgl. ein Allround-Talent, kann sowohl für den Server-Einsatz als auch für den Desktop-Einsatz verwendet und empfohlen werden. Wahr ist: Clamav hat sich für diese Zwecke aber seit Jahren als de facto-Standard im Unix-Server-Umfeld etabliert bzw. durchgesetzt. Warum wohl? Nicht nur, weil er kostenfrei und Open-Source ist und da ein potente Entwicklermannschaft dahintersteht (Stichwort: Snort, bisher der darauf gegründeten Firma Sourcefire, jetzt seit kurzem Cisco, seit Sourcefire von Cisco gekauft worden ist). Vor allem auch aufgrund seiner guten Performance und Minimal-Invasiviät und hohen Anpassbarkeit an die und das Zusammenspiel mit der Umgebung bzw. auch, weil er leicht und mit wenigen Konfigurationsanweisungen zusammenzubringen ist mit unterschiedlichen lokalen MTAs und MDAs.

Aber auch fürs dateibasierte On-Access-Scanning gibt es auf Wunsch und bei Bedarf Kernel-Module (Dazuko unter Linux, Clam Sentinel unter Windows und ClamAuth für OSX, ClamAuth incl. XCode-Projektdatei sogar als Bestandteil der Clamav-Sourcen bzw. im Repository im /contrib-Verzeichnis abgelegt), für die die Konfiguration von Clamav bereits vorbereitet ist. Seit Jahren schon gibt es GUI-Aufsätze auf Clamav zahlreicher Art und für alle Plattformen erhältlich, frei und Open-Source oder auch kommerziell, die basiwerend auf der Clamav-Engine das Ganze zu einem GUI-gestützten Desktop-Programm machen. ClamXav ist da nur ein Anbieter unter mehreren insgesamt und einer von wenigen, die Mac-Plattform betreffend (das kommerzielle Produkt ProtectMac nutzt ebenfalls die Clamav-Engine, hat aber noch eine weitere, ergänzende eigene Signaturliste eingebaut, gegen die gecheckt wird).

o.k.
danke für die info.
es ist also alles beim alten und wenn dann clamXav.

LOL

Noch mehr LOL: Seite 163 in "OS X Exploits and Defense" von Kevin Finisterre et aliud.

Da kramt einer aber ganz tief, nur um es mal wieder besser wissen zu wollen (ohne es tatsächlich besser zu wissen) und das letzte Wort zu haben, in völliger Unkenntnis der Sache und Ignoranz der Entwicklungen und Fortentwicklungen der letzten Jahre:

Dieselbe Seite, die er da im Internet-Archiv aus dem Januar 2010 rausgekramt hat, sagt heute, im Dezember 2013, Folgendes über sich selber und ist damit auch nach allem, was man darüber so weiß und wissen kann, diesbzgl. nicht der Falschaussage zu bezichtigen:

Immunet ist Sourcefires neue, eigene Desktop-Lösung für Windows. Basierend auf Clamav und wahlweise mit Cloud-Anschluss, um das Scanning in die Cloud zu verlegen.
Sourcefire hat seit einiger Zeit Clamav für Windows angeboten, eine vollwertige GUI-gestützte Desktop-Lösung, die Software Immunet ist inzwischen der weiterentwickelte Nachfolger, sowohl Clamav-gestützt für lokalen Einsatz als auch Cloud-gestützt und wird hier auf der Sourcefire-Seite von Sourcefire erklärt und angeboten:

Die Zeit und Clamav haben sich, im Gegensatz zu Ihnen mein Herr, weiterentwickelt.
Und jetzt hören Sie bitte auf, weiter Nebelkerzen zu schmeißen. Informieren Sie sich einfach mal korrekt und haben auch Ahnung von dem, wovon Sie reden und worüber Sie sich auslassen. Statt in Unkenntnis der Dinge im vollen Brustton der Überzeugung Falschheiten und einen falschen Zungenschlag unter die Leute zu bringen und sie in die Irre zu führen.

LOL, quod erat demonstrandum.

• Viren können sich auf dem Mac normalerweise(!) nicht ausbreiten, denn der Mac hat nicht solche konzeptionellen Schwächen wie z.B. Windows XP. Ein Virus auf dem Mac benötigt immer eine aktuelle Sicherheitslücke.

• Antivirenprogramme kommen den schnellen Mutationen der Schadsoftware nicht mehr hinterher. Eine neue Variante breitet sich heute über Internet schneller aus als der Antivirenhersteller seine Software aktualisieren kann.

• Antivierenprogramme auf dem Mac sind alle so schlecht programmiert, dass diese meist mehr Schäden anrichten als die Schadsoftware selbst es kann.

Fazit: Finger weg! Es lohnt sich nicht! Und es macht nur Probleme.

Wer gerne Probleme auf seinem Mac haben und lösen möchte (Stichwort: Lange Weile), dem allerdings empfehle ich so ein Antivirenprogramm.

Wow, da hängt sich ja jemand weit aus dem Fenster... ich möchte nicht in seiner Haut stecken, wenn eine seiner Mails doch mal einen Virus/Trojaner enthält und der ein Anwaltskanzleinetzwerk befällt...

Ach ja OT: Bislang verursachen Mac-AV-Programme mehr Probleme als sie beheben... das liegt wohl u.a. daran, dass es dato noch kaum nennenswerte Virus-/Trojanergefahren für den Mac gibt.

Mac hat genau so konzeptionelle Schwächen wie Windows...
100% sicherheit kann man nie haben.
Und bei mir richtet Sophos keinen Schaden an, auch bei XcalmSav kann ich mir das nicht Vorstellen

Das ist schlicht nicht wahr.
Das allerdings stimmt.
Tun sie aber. Bei einem der letzten Trojaner hat eines der AV-Programme massenweise Macs beim Versuch den Schädling zu entfernen lahmgelegt, und damit mehr Schaden angerichtet als der Trojaner selbst. Andererseits war nicht ein einziges AV-Programm in der Lage den Schädling rechtzeitig zu erkennen. Sie waren allesamt nutzlos.

Bis 10.7 fehlten osx wichtige Sicherheitsmechanismen,
klar ist es durch Sandboxing relativ sicher geworden,
aber Softwearlücken werden vorallem von 3-Anbieter Softwear gerissen.

Ausserdem möchte man ja keine Schadsoftwear weiter verbreiten

Ich schrieb hier , am 21.12.13 15:15 Uhr genau DAS.

Das ist EINE Art, Clamav zu nutzen, die verbreitetste Art, weil historisch eben so gewachsen. Es gibt aber noch ANDERE Arten, die Clamav-Engine zu nutzen und einzubetten. Man MUSS Clamav NICHT zwangsläufig an den MTA (Mail Transport Agent) oder MDA (Mail Delivery Agent) anflanschen, man KANN, es bleibt dem Nutzer/Administrator überlassen, auf welche Weise und in welchem Umfeld er Clamav nutzt. Man kann Clamav auch als ganz normalen Desktop-Scanner benutzen bzw. in dem Umfeld nutzen, dazu braucht's eigentlich nur ein GUI drumherum. Und das wird auch getan.

Clamav hat mal angefangen bzw. wurde zuerst eingesetzt auf Servern bzw. bei email Gateways, das ist seine Historie. Aber warum sollte man seine Fähigkeiten nicht auch im Desktop-Bereich einsetzen können, der Scan-Engine ist dies egal, wo und auf welche Weise sie eingesetzt wird. Und genau dies ist über die Jahre geschehen, es sind für die Clamav-Engine einige GUIs erwachsen, die Clamav auch für den normalen Desktop-Einsatz nutzbar machen, die Väter von Clamav höchstselbst bieten seit einiger Zeit Desktop-Programme für Windows an, welche nichts weiter sind als die vielseitig nutzbare Clamav-Engine mit einem für den Desktop-Einsatz optimierten GUI zu versehen.

Jeder langjährige Linux-Benutzer weiß, was ich weiß, hat er doch auf Wunsch unter GNOME und KDE stets eine für den Desktop-Einsatz ausgelegte und optimierte Benutzungsoberfläche für Clamav zur Verfügung, auch wenn er seinen Rechner nicht als Server betreibt sondern rein als Desktop-Rechner, ähnlich wie ClamXav das für OSX anbietet.

Desweiteren:

Wikipedia (en): Clamav: Graphical interfaces

Wikipedia (de): Clamav: Derivate

Du sprichst in Unkenntnis der Sache. Oder Du stellst Dich absichtlich unwissender als Du bist und verbreitest hier wissentlich und hartnäckig Falschinformationen?

Lesen, verstehen und einfach mal gut sein lassen, anstatt unbedingt trollen und widersprechen zu wollen, wo kein Widerspruch nötig ist und Du vor allem ganz genau weißt, dass Du mit Deinem Trollversuch und Deiner bemühten Behauptung im Unrecht bist. Lass' es einfach, oder kannst Du nicht anders?

Ich finde das auch ziemlichen Unsinn. Ich meine, so etwas kann ja jeder Schreiben. Mails mit diesem Text sind nicht vertrauenswürdiger als andere!

Dieser Forumsbeitrag ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.

Sie sind in und ab genau dem Moment nutzvoll, wo sie Schlimmeres verhindern. Vielleicht nicht vom ersten Moment an, aber immerhin dann nach Tagen, um helfen zu können, das Ganze eindämmen und den Ausbreitungsradius nicht größer werden zu lassen.

Was passiert, wenn man NICHTS tut, also GAR NICHTS, das hast Du treffend an der Ausbreitung und Ausbreitungsgeschwindigkeit von Flashback sehen können. Das ging dann auf einmal auch Apple zu schnell, und der Kreis war zu groß geworden, Apple war da leicht in Panik, so wie die auf einmal da in Wallung kamen und mehrmals hintereinander haben patchen müssen. Das Mac Universum und seine Nutzer hat mit Flashback, auf den weder Apple noch die Nutzer überhaupt vorbereitet waren, in kürzester Zeit einen rekord aufgestellt, der den bisher schlimmsten je erlebten Angriff auf Windows-Rechner in den Schatten gestellt hat, gemessen an der Verbreitungszahl in der kürze der Zeit und bezogen auf die in Relation gesehene Benutzerbasis, also eine doch recht hohe Infektionszahl und Durchseuchung bezogen auf die Anzahl der gesamten Nutzer. Das sollte zu denken geben. Selbst einem sonst so Mac-affinen John Gruber wurde dabei schwummerig, und er war schockiert, hätte er sowas doch niemals für möglich gehalten: .

Und an Apples eigener Scan-Engine, XProtect und Quarantine-Framework, ging das Ganze grundsätzlich vorbei, da hätte es auch nix genützt, wenn Apple rechtzeitig Signaturen bereitgestellt hätte. Warum? Weil XProtect und Quarantine bestimmte Dinge technisch bedingt gar nicht mitkriegen können bzw. es ein Leichtes ist, unter deren Radar unerkannt hindurchzufliegen. MIt einer zusätzlich installierten AV-Software, deren Scan-Mechanismus ein wenig weniger rudimentär ist als der von XProtect, kann man sowas dann aber noch auffangen. Vielleicht nicht sofort, mangels sofortig zur Verfügung stehender Schädlingssignatur, aber dann mit gewisser Wahrscheinlichkeit ein paar Stunden oder Tage später und solange dieser Schädling in Umlauf ist. Immerhin.

Apples XProtect konnte technisch bedingt gegen Flashback Null ausrichten, selbst beim besten Willen nicht. Wohl dem also, der sich nicht alleine auf XProtect verlässt, sondern XProtect noch jemanden an die Seite stellt, und beide sich gegenseitig ergänzen oder überlappen in dem was sie wissen und rausfinden können.

Ich habs mal ausprobiert. Und schön, ClamAV hat schöne falsch positive Resultate gebracht. Etliche selbst geschriebene Software sei infiziert. Es wäre zwar theoretisch möglich, dass der verwendete Compiler verseucht war, aber da die SW auf nem PC erstellt wurde und dort kein Virenscanner je gemeckert hat, ist das sehr unwahrscheinlich.
Und ein Expolit angeblich in einem kommerziell ausgesendetem PDF.
Naja.

Ich erinnere mich noch genau: Dein ClamAV hatte Dich, auch nachdem er Signaturen für Flashback hatte, nicht vor Flashback geschützt. Du wurdest infiziert.
AV-Software kann nicht funktionieren. Das ist in der Informatik ein erwiesenes unlösbares Problem: Irgendeine Hoffnung in AV-Software zu setzen, ist Selbstbetrug und zusätzliches Risiko.

Ach deswegen wie bei Windows die vielen zigtausend Viren pro Tag beim Mac.

Die Tatsache, dass es kein einziges Virus für Mac OS X in freier Wildbahn gab, zeigt doch deutlich, dass dem nicht so ist.
Und weil andere zu doof oder unwillig sind das Problem bei sich zu beheben, soll ich mein System ruinieren? Das werde ich mit Sicherheit nicht tun!!!

So ist es, und genau DAS konnte kein einziges AV-Programm.
Ja, die AV-Programme, die angaben den Schädling entfernen zu können, haben überall auf der Welt Macs unbrauchbar gemacht.

Und DAS ist genau der Punkt: sie verhindern nicht den Befall oder die Weiterverbreitung, stören aber Massiv das einwandfreie Funktionieren des Macs, bis hin zum Totalausfall des Rechners.

Oder anders ausgedrückt: Nur Nachteile – kein einziger Vorteil.

Behauptest Du einfach. Belegen kannst Du Deine Aussage nicht, das dürfte sicher sein, denn es ließen und lassen sich schnell Gegenbeispiele finden von Fällen, wo genau das gelingt.
Außerdem frage ich mich in dem Zusammenhang, warum auch Apple sowas wie XProtext überhaupt anbietet und in sein Betriebssystem integriert, wenn Deiner Ansicht nach noch nicht mal das Eingrenzen und Eindämmen einer Gefahr damit bewerkstelligt werden kann. Also liegt Deiner Ansicht nach auch Apple mit XProtect völlig daneben und vergeudet wissentlich Ressourcen und wendet Zeit betreffend Pflege auf, obwohl das alles gar nix bringt? Wohl kaum, oder? Denn gerade Deiner Meinung nach durchdenkt Apple doch alles immer ganz genau und bietet Dir nix an, das Dir nicht einen gewissen Mehrwert bringt... Gehört Apple höchstselbst mit seiner betriebssystemeigenen AV-Lösung namens XProtect also auch zu denjenigen, die Dir da was andrehen, das total unnütz ist und Du das nicht brauchst? Folgerichtig Deiner Argumentation müsste das ja dann so sein.

Gönau. So wird's sein. Total. Belege?

Siehe zuvor Gesagtes und meine Frage in Bezug auf OSX-eigene AV-Lösung namens XProtect. Apple hat Dir mit XProtect Dir also unnütze Kacke untergejubelt, die im Zweifel nur Nachteile mit sich bringt und keine Vorteile (muss sie ja sein, folgt man Deiner Argumentation).

Ich denke, Du übertreibst mit Deinen behauptungen einfach maßlos und scherst tutti kompletti alle über einen Kamm, und genau solch' einer Verallgemeinerung und einem Hang zur Übertreibung sollte man sich nie hingeben. Man könnte damit nämlich sehr übers Ziel hinausschießen und Unzutreffendes zu jenen sagen, die eben nicht so sind wie Du für alle geltend behauptest, und solche gibt es durchaus.

Gerhard Uhlhorn:

Nachtrag:

Außerdem kann man ein gutes AV-Programm auch so konfigurieren bzw. es ist so vorkonfiguriert, dass es erstmal gar nix entfernt. Sondern erstmal nur Alarm schlägt und meldet "Du hast da was. Sieht aus, wie eine Nudel, die Dir am Mund runterhängt. Mach' das mal weg." bzw. evtl. ergänzend "Soll ich sie Dir neben Deinen Teller (z.B. Quarantäne-Verzeichnis) legen, damit Du die betreffende Datei näher untersuchen und selber bestimmen kannst, was damit geschehen soll"? Kann man alles konfigurieren. Kannst auch konfigurieren, dass gar nix geschehen soll. Zumindest bei Clamav und ClamXav.

Es gibt halt so'ne Programm und solche. Nie alle in einen Topf schmeißen und kräftig umrühren. Sollte man nie tun, sondern man sollte sich angewöhnen zu differenzieren. Egal, bei wem oder was. Ist auch fairer. Und seriöser.

Weil es gerade so schön zum Thema passt:
http://www.macmark.de/osx_viren.php

Die letzte Aktualisierung ist von 2012, aber informativ ist es alle mal. Auch die letzte Schadsoftwarewelle für Mac Os ist nicht aktueller (oder habe ich etwas verpasst?).

Gruß, Stefan Mettenbrink.

Gut, hier ein Zitat:
„Keine Antiviren-Software für den Mac hat Flashback rechtzeitig erkannt […]“
Quelle:
Offensichtlich hast Du nicht verstanden was XProtect bewirken soll. XProtect ist nämlich kein AV-Scanner! Und er soll auch nicht die Aufgaben eines AV-Scanners übernehmen.

Auf dem Mac haben im wesentlichen nur Trojaner eine Chance, also Programme die vom Benutzer vorsätzlich installiert werden. XProtect soll bei bekanntwerden einer solchen Schadsoftware nur verhindern, dann Millionen Mac-User sich das aus Unwissenheit installieren. Mehr nicht! Der Zweck von XProtect ist, den Erfolg solcher Software dramatisch einzuschränken, so dass sich die Programmierung einfach nicht mehr lohnt.
Eben. So ist es auch.
XProtect ist keine AV-Lösung.
Gut, auch hier wieder ein Zitat:
„Einige AV-Hersteller waren mit ihren Reinigungstools zwar schneller als Apple, arbeiteten aber dafür nicht fehlerfrei. Das von Kaspersky bereitgestellte Tool löschte unter Umständen auch Benutzer-Daten und -Einstellungen mit, wie PC Mag berichtete (Kaspersky behob den Fehler später).“
Quelle:

Du bist doch sonst immer so belesen!?! Und dieses Mal völlig ahnungslos?!? Was ist los mit Dir?
Nein, das kann man nur so sehen, wenn man den Sinn von XProtect nicht ganz verstanden hat.

XProtect hat keine weitere Aufgabe als den Erfolg von Trojanern zu schmälern und deren Programmierung damit uninteressant zu machen. Denn Trojaner greifen den User an, nicht das System! Ihr Erfolg erhalten sie dadurch, dass sie dem Benutzer eine Nützlichkeit vorgaukeln. Dieser installiert sie dann.

XProtect soll nur den Benutzer davor warnen, mehr nicht. Es hindert Dich aber nicht daran einen Trojaner auszuführen.
Keineswegs!

Gerhard Uhlhorn:

Du langweilst. Kannste mal jemanden anderen, jemanden Kompetenteren zitieren als ständig Deinen offenbaren Busenfreund, der nicht heute so schreibt und nach einer peinlichen öffentlichen Zurschaustellung seiner Unkenntnis in einem öffentlichen Forum und gleichzeitigen Lehrstunde an ihn durch Kompetentere morgen so, nachdem er öffentlich erstmal beigebogen bekommen hatte, wie das Ding denn überhaupt funktionierte und dass er sich zuvor irrte in seinen öffentlich gemachten Ausführungen?

Red' keinen Schmarrn! Natürlich ist es das! Was denn sonst? Was zum Kuchenbacken etwa?

Und ausgerechnet Du hast ihn natürlich verstanden und von uns beiden als Einziger, oder wie?

Aha. Und deshalb ist in XProtect auch die Signatur des EICAR-Testviruses drin und die Signatur von hybrider Malware drin, die nicht ausschließlich Trojaner ist, sondern auch Züge anderer kategorisierter Schadsoftware. Ahhh ja.
Außerdem gibst Du mir mit Deiner Aussage damit Recht: den Erfolg von Schadsoftware schmälern. Nichts anderes habe ich oben auch gesagt. Nur mit dem Unterschied, dass andere AV-Software jenseits von XProtect ein breiteres Spektrum von Schadsoftware in seiner Signatur-Datenbank zum Erkennen hat als XProtect.

Kannst Du mal aufhören, solche nicht stimmenden platten Formulierungen dauern zu wiederholen?
Da springt nichts den Benutzer an, greift ihn an! Oder hast Du schon mal aus dem Bildschirm was rausspringen sehen, dass dann über den Benutzer hergefallen ist?
Was ist das für eine kindliche und völlig irreleitende Ausdrucksweise, die Du da stets benutzt? Greift den User an... -- jegliche Schadsoftware greift immer das System bzw. die im System abgelegten Daten an, versucht immer für den Nutzer möglichst unerkannt zu bleiben und unter seinem Radar drunterwegzufliegen. Und aus Sicht des Schadprogrammes ist es völlig wumpe, wer von beiden das OK gibt, ob der Nutzer in personam per Mausklick/Tastendruck oder eine offene oder konfigurierte Sicherheitslücke im System, einer Systembibliothek, einem Zusatzprogramm oder Programm, das der Benutzer gerade benutzt -- Stichwort: drive-by-download.

Ersteres ist in ClamXav z.B. vorkonfigurierte Standardeinstellung. So what? Du musst es händisch änern, wenn Du mehr willst. Immerhin kannst Du es aber ändern und selber bestimmen, was weiterhin zu geschehen hat, ob überhaupt weiter was zu geschehen hat.

Meines Wissens hindert ihn das OSX-System daran, wenn er in der XProtect.plist analog zur XProtect.meta.plist (dort stehen veraltete Flash- und Java-Versionen drin, deren Ausführung geblockt wird) verzeichnet ist. Ansonsten wäre XProtect ja erst recht nutzlos, und so manche der letzten Schadsoftware für OSX hätte sich erst recht ungehindert verbreiten können.

Und ich sage: Doch!

Gegen Schadsoftware, die das System austrickst, kann man ein System sicher machen.
Gegen Schadsoftware, die einen Benutzer austrickst, kann man nichts am System machen.

DAS ist der Unterschied!

Man kann nur den Benutzer warnen, und den Erfolg der Schadsoftware so schmälern, dass es sich nicht mehr lohnt überhaupt eine zu schreiben. Und genau DAS macht XProtect.

Alles andere habe ich bereits gesagt.
Mein Busenfreund?!? Nicht dass ich wüsste! Kenne ich ihn denn – oder müsste ich ihn kennen?

sierkb

Warum hackst Du so auf Gerhard rum?
Ich finde, er hat völlig passend auf Deine Äußerungen reagiert. Meine Wahrnehmungen zu dem Thema decken sich mit den Äußerungen von Gerhard (ich lese diesbezüglich überwiegend auf Heise und hier) und sind aus meiner Sicht sehr plausibel.

Ich teile ebenfalls die Ansicht, dass Trojaner den Anwender angreifen(!). Das ist genau der Begriff, den ich nutzen würde, wenn es um "social hacking" geht. Der Angreifer (Ersteller der Schadsoftware) versucht mit plausibel klingenden Behauptungen den Anwender zur Ausführung der Schadsoftware zu bewegen, weil er das Betriebssytem selbst nicht dazu bewegen kann.

In gleicher Weise bezeichne ich auch die Manipulationsversuche an Software (-systemen) als Angriffe und bin sicher, in Berichterstattungen von z. B. Heise solches ebenfalls gelesen zu haben (nein, ich suche keine Zitate raus).

Im Fall von XProtect hab ich diese Software bisher nicht als AV-Software gesehen. Nach meinem Verständnis funktioniert das eher wie ein Werbelocker im Browser. AV-Software sucht (nach meinem Verständnis) aktiv nach Schadsoftware im System (auf der Festplatte) und verdächtigen Aktivitäten von Programmen. XProtect schaut sich lediglich an, was der Anwender gerade für Dateien installieren möchte (siehe Vergleich mit Werbeblocker).

Ich würde es befürworten, wenn ihr beiden euch beruhigt. Lest doch zur Entspannung mal die Informationen, die ich Gestern schon angeboten habe:
http://www.macmark.de/osx_viren.php

Möglicherweise entspannt sich die Diskussion dann von ganz allein.

Gruß, Stefan Mettenbrink.

PS: Ich nutze keine AV-Software für Mac OS.

oh ja, beruhigen bitte!

davon ab hab ich die diskussion in ihren argumenten als interessant empfunden.
und es ist schön, wenn jemand sich hier im forum so gut auskennt wie macmark, sierkb und gerhard uhlhorn.

bei ausreichender information sind die bewertungen, was richtiges handeln sein soll und die gewichtungen der einzelnen informationselemente durch die informationslieferanten zwar wichtig, befreien mich aber nicht vom eigenen nachdenken.

insofern sollten die diskussionen nicht in einen meinungskrieg samt angriffen unter der gürtellinie ausarten, sondern informationsvielfalt anbieten, bitte

ich werde mir jedenfalls kein avast draufziehen.
clamxav hatte ich mal drauf, das hat aber einiges im rechner deutlich verlangsamt (warum auch immer), so daß es bald wieder runter flog.

danke jedenfalls an die combattanten für ihre infos!

Ähh. Das ist hanebüchener Quatsch. Virenscanner sind und bleiben Schlangenöl. Noch nie, wirklich noch nie haben wir damit jemals einen Befall verhindern können. Wir brauchen solche Software bloß, um befallene System zu erkennen, soweit möglich. Das das so ist fällt immer dann auf, wenn nach einem Signaturupdate die Zahl der versuchten plötzlich ansteigt. Wie viele tatsächlich versucht sind, wissen wir nicht. Das erste, was so ein Schädling macht, ist den Scanner verarschen. Und wenn ein Rechner befallen ist, wird er bei uns grundsätzlich neu ausgerollt. Auf diverse Entfernmechanismem kann man sich schlicht nicht verlassen.

Wir suchen jedenfalls mehr oder weniger verzweifelt eine Lösung Virenbefall zu verhindern, ohne solches Schlangenöl mit unglaublichen Aufwand auf jeden einzelnen Client loszulassen.

Nein es gibt einfach nicht genug Leute die es Benutzen besonders bis 10.7

Und zu dem Konzeptionellen Schwächen wenn der Darwin Kernel doch so sicher ist wie kommt es dann immer zu Jailbreaks auf iOS?

Und ja einige meiner Freunde Wissen nicht was sie am PC eigentlich tun, da muss ich es nicht noch Schlimmer machen

Frohe Weihnachten

Ich habe avast auf meinem Macbook Alu und auf meinem iMac early 2008 installiert. In der neuesten Version macht es keine Probleme. Früher hat es mal den Email-Verkehr lahmgelegt, wenn man sichere (SSL) Email-Accounts überprüfen ließ - das funktioniert aber jetzt in der neuen Version richtig.
Die Performance meiner Rechner wird von avast nicht spürbar beeinflusst, außer natürlich, wenn man einen kompletten Scan des Systems durchführt, was aber nur am Anfang einmal nötig ist.
Einzige Ausnahme: das Update der Virensignaturen lässt den Rechner spürbar langsamer werden bzw. belegt viel Bandbreite des Internet-Anschlusses. Kann aber auch an meinem Internet-Zugang liegen. Das stört mich aber nicht weiter.
Avast ist nicht nur ein Virenscanner, sondern bietet mit dem Webschutz auch Sicherheit vor potentiell gefährlichen Websites.
Viren gefunden habe ich (in etwa gut zwei Jahren) nur zwei Mal bisher: einmal in einer Mail von einem Windows-User (ei, sowas!) und einmal im Quelltext einer Sicherheitskopie von meiner Website (das war schon beunruhigender und wirklich wichtig, weil offenbar bei einem Hacker-Angriff Schadcode eingeschleust worden war).

Metti:

Weil er in meinen Augen Quatsch erzählt, Dinge miteinander vermengt, die nicht zusammengehören, und weil er seine Argumente und Wortwahl auf jemanden stützt (Du mit Deinem Link leider auch, in früheren Zeiten hat dieser Herr sich hier und anderswo gerne selber verlinkt, um auf sich aufmerksam zu machen, dass man ihn liest), der (nicht nur) in meinen Augen als unseriös gilt und der auch schon mehrfach der Falschaussage überführt worden ist.
Und Gerhard weiß, dass ich so denke (nicht nur ich alleine) und weiß auch um gewisse seinen Argumenten entgegenstehende anderslautende Fakten, und er kommt Jahr und Tag immer mit denselben Argumenten an, als hätte es frühere Auseinandersetzungen hier um dieses Thema niemals gegeben. Lerneffekt bei ihm also Null. Und dieses Thema ist nicht das einzige Thema, wo er immer noch mit denselben Argumenten und Formulierungen kommt wie vor 2 Jahren, wie vor 5 Jahren. Und in der Zwischenzeit sind Dinge passiert, die weder er noch derjenige, auf den er sich da beruft, vorher noch weit weit von sich gewiesen hatten, dass das je passieren könne.

Auch die Mac-Nutzer sollten sich langsam mal mit den Realitäten anfreunden und einsehen, dass auch ihre Plattform nicht mehr die sichere Insel ist, auf der sie jahrelang glaubten zu leben. Schon allein das zu akzeptieren, wäre ein großer Fortschritt.

Mehr macht Clamav/ClamXav in seiner ausgelieferten Grundeinstellung auch nicht. Nur kennt Clamav mehr Schadsoftware als XProtect, erkennt eine ganze Palette mehr, u.a. auch Windows- oder Linux-Schadsoftware, die ein Mac-Nutzer evtl. weitergeben könnte, die XProtect aber weder erkennt noch erkennen will. Und was Schadsoftware auf dem Mac angeht, so ist in der Schnelligkeit der Aktualisierung seiner Signaturdateien manchmal Apple mit seiner XProtect.plist schneller dabei und manchmal Clamav. Der eine ergänzt den anderen, kann man da also sagen, wenn man beide nebeneinander benutzt. Und XProtect greift nur bei bestimmter Art, wie Dateien auf den Rechner gelangen können. Nämlich nur dann, wenn ein Quarantäne-Flag beim Schreiben einer Datei gesetzt wird. Und das wird nicht immer gesetzt bzw. kann leicht umgangen werden. Es wird nämlich leider nicht gesetzt, wenn eine Datei vom drunterliegenden Unix Userland z.B. mittels des systemeigenen und sehr beliebten curl-Programms aus dem Internet heruntergeladen wird.
Auch kannst Du mit XProtect/Quarantine kein angeschlossenes USB-Laufwerk/-Stick oder Netzwerklaufwerk prüfen bzw. es wird standardmäßig nicht geprüft.

Es gibt so Einiges, das XProtect NICHT kann, das aber ganz hilfreich wäre, wenn XProtect es könnte, weil es erst dann wirklich zu Ende gedacht wäre. So wie es jetzt ist, hat es Lücken und Wissenslücken. Die leicht umgangen und ausgetrickst werden können, weil XProtect auf dem Auge blind ist, nicht genug weiß und nicht genug Möglichkeiten hat, seine (Mess-)Fühler auszustrecken.

Dann bist Du unzureichend oder falsch informiert, es kommt drauf an, was Du für eine AV-Softwware benutzt und wie sie konfiguriert ist. Wenn die AV-Software einen On-Access-Scanner hat, dann macht er im Prinzip nix anderes als XProtect: im dem Moment, in dem eine Datei im Dateisystem abgelegt wird, wird sie gegen die Definitionsliste gegengecheckt. Bei XProtect ist es so, dass dieser Check erst dann erfolgt, wenn die Datei fertig auf die Festplatte geschrieben ist. Bei Clamav geschieht dies sogar schon ein wenig vorher, nämlich bereits beim ersten Ansetzen des Schreibens auf die Festplatte, da werden bereits die ersten Bits der Datei gegen die Signaturliste geprüft, und es wird im Zweifel Alarm gegeben. XProtect macht erst dann Meldung, wenn das Teil fertig auf die Platte geschrieben ist.
Beide arbeiten aber mit Hash-basierten Signaturlisten, die von XProtect ist XML-basiert, die von Clamav ist eine komprimmierte Datenbank-Datei. Das Erkennungsprinzip auf Basis einer solchen regelmäßig online abgeglichenen Signaturdatei, mit denen beide arbeiten, ist also ziemlich ähnlich in dieser Hinsicht.

Apples Schadsoftware-Signatur-Dateien (Apple bietet drei verschiedene an für unterschiedliche Versionen von OSX), sind online hier zu finden: , , . Sie werden, wenn XProtect sich mit dem Apple-Server verbindet, bei Neuerungen auf das System des Benutzers kopiert, um die anfängliche Sicherheitssignatur gekürzt und ergeben dann die XProtect.plist, auf deren Basis XProtect in Zusammenarbeit mit dem Quarantine-Framework bzw. einem bei einer Datei ggf. gesetzten Quarantine-Flag dann was erkennen kann (oder auch nicht).

Clamav/ClamXav arbeitet im Prinzip nicht anders. Und ist standardmäßig auch so voreingestellt, dass erstmal nix Weiteres zu erwarten ist als ggf. eine Warnung, wenn eine Übereinstimmung auf Basis einer solchen Signatur-Datei gefunden worden ist, mehr nicht.
Die Signaturdateien von Clamav kannst Du übrigens auf der Homepage von Clamav einsehen und Dir ggf. von Hand runterladen : main.cvd, daily.cvd, bytecode.cvd, ergänzend dazu auf Wunsch noch Googles safebrowsing.cvd, um Phishing-Versuche besser erkennen und abwehren zu können, letztere, also safebrowsing.cvd, benutzen u.a. auch Safari und Firefox, Google Chrome und Opera für denselben Zweck.

Wobei XProtect nichts blockiert. Es warnt lediglich den Benutzer.
Eben. Das sind die Probleme. Und dabei hast Du noch Glück gehabt. Denn gelegentlich macht es die Rechner auch unbrauchbar. Gemessen am Schaden, den die AV-Programme anrichten, kann man sie mit Fug und Recht als größte Schadsoftware für den Mac bezeichnen.

Mac OS vor X hatte einen so großen Anteil an Viren & Co wie der Marktanteil des Systems war. OS X hat heute einen viel höheren Marktanteil, aber einen Anteil an Viren & Co (außer Trojaner) von 0 Prozent. Nur Trojaner sind auf dem Mac ein kleines Problem. Denn sie werden vom Benutzer installiert.
Ich habe nicht behauptet, dass OS X und iOS keine Schwächen hätten. Ich habe lediglich gesagt, dass die nicht die konzeptionellen Schwächen von Windows XP haben. Zu anderen Schwächen von OS X habe ich mich gar nicht geäußert.

Bei Mac OS X arbeiten Programme mit einer Signatur. Wird ein Programm das erste Mal gestartet, gibt es einen Warnhinweis. Bestätigt der Benutzer, dass alles okay ist, erstellt das System eine Signatur für das Programm. Und solange die Signatur intakt ist, gibt es keine weiteren Warnhinweise. Wird jedoch das Programm verändert – z.B. durch ein Virus oder ein Update – gibt es wieder ein Warnhinweis. Diese kleine Funktion macht es möglich, dass ein Befall sofort bemerkt wird.

Desweiteren hat selbst ein Admin auf dem Mac nur sehr eingeschränkte Rechte. Mit diesen Rechten kann auch ein Virus oder Wurm kein System befallen. Es muss schon eine gerade offene Sicherheitslücke finden und nutzen.
Gleichfalls.
Ich lasse mich gerne durch gute und überzeugende Argumente vom Gegenteil meiner Sicht überzeugen. Nur bisher habe ich keine guten Argumente gesehen die gegen meine Sichtweise sprechen.

Komme mit überzeugenden Argumenten und ich werde in Zukunft das Gegenteil erzählen.
Oh, ich lerne gerne, aber mit offensichtlich falschen Argumenten kann man mich eher nicht überzeugen. Und solange ich keine andere plausible Erklärung habe, bleibe ich auch bei meinem Standpunkt. Egal ob Dir das nun gefällt oder nicht.
Ich habe es niemals so betrachtet, dass der Mac völlig sicher ist. Ich habe das auch nie behauptet. Ich habe nur gesagt, das er sehr virenresistent ist. Viren (und andere selbstausbreitende Schädlinge) haben sind nur über kurzfristige Sicherheitslücken überhaupt eine Ausbreitungsmöglichkeit. Und die Zahl der Viren für den Mac gibt mir Recht. Wenn Du ein besseres Argument hast, her damit.
Ja, und das ist auch Absicht. Denn XProtect soll nur den Benutzer vor seinem Tun warnen. Denn das ist ja der Sinn von XProtect. XProtect ist ja auch keine AV-Software.
Nur weil die Arbeitsweisen teilweise gleich sind, solltest Du nicht daraus schließen, dass die Software den selben Zweck verfolgt. Denn das tut sie nicht – wie Du ja selbst daran siehst, dass sie bei weitem nicht das abdeckt, was eine AV-Software macht.

ach was gibts jetzt Vieren für meinen iMac? muss ich doch glatt einen Vierenscanner installieren? könnt ihr mir einen empfehlen.....


Frohe Weihnachten wünsche ich euch

Gerhard Uhlhorn:

Kannst es Dir ja gerne von Marcel Bresink erklären lassen, vielleicht erklärt er's Dir besser und für Dich überzeugender als ich.

Auch Dir nichtsdestotrotz einen gesegneten Heiligen Abend.

sierkb
Das habe ich durchaus erkannt.

Auch wenn ich den Wahrheitsgehalt der Aussagen von MacMark nicht nachprüfen kann, so sind einige seiner Aussagen für mich recht plausibel. Vor allem, wenn ich sehe, dass Mac OS von Schadsoftware recht wenig betroffen ist. Wäre es leicht, Mac OS zu kompromittieren, dann wäre auch mehr Schadsoftware verfügbar.
Das, was es bisher an Schadsoftware gibt, ist fast alles nur mit Hilfe des Anwenders auf den Rechner gekommen. Lediglich die letzte(?) große Welle konnte die Schadsoftware als Driveby auf den Rechner bekommen. Das war wirklich eine Gefahr!

Nachdem die Lücke geschlossen wurde, ist jetzt schon wieder Ruhe.
Wo sind denn die vielen Lücken und Risiken in der Realität?
Welche AV-Software konnte denn die Infektion verhindern? Jedweder Schutz von dem ich gelesen habe, bezog sich auf Versionen, die nach Auftreten der Schadsoftware erhältlich war.

Der einzig halbwegs brauchbare Schutz ist, sich täglich zu informieren. Das macht kaum jemand. Darum ist für viele eine AV-Software sicher sinnvoll. - Ich verzichte darauf, weil die Bedrohung unter Mac OS gering ist und ich täglich bei Heise (und hier) lese. Ich würde eine Bedrohung früh mitbekommen und hoffe(!), dass reicht.

Gruß, Stefan Mettenbrink.

Der eine Trojaner war wohl ein Drive-by-Trojaner, der wurde also nicht aktiv, sondern durch einen Besuch einer Webseite installiert. Das ist für Trojaner eher ungewöhnlich, denn die Definition für Trojaner ist ja gerade, dass er vortäuscht etwas Nützliches zu sein um vom Benutzer installiert zu werden. Das hängt aber damit zusammen, dass Safari per Default Downloads ausführt. Das muss unbedingt abgeschaltet werden!
Nein. Oder doch: es gibt Proof-of-Concept-Viren, welche als Nachweis dienen, dass Viren grundsätzlich möglich sind. Sie nutzten aber immer eine kurzfristige Sicherheitslücke, welche es immer wieder mal gibt. Zumindest theoretisch sind Viren möglich, aber eben nicht zu jeder Zeit. Der Virenautor benötigt eine ihm bekannte Sicherheitslücke, und er muss sein Virus schreiben und es in den Umlauf bringen, bevor diese Lücke wieder geschlossen wird. Das ist ein sehr kleines Zeitfenster und lohnt sich daher meist nicht. Und so ein Fenster gibt es zudem nur selten und ist nicht vorhersehbar. DAS ist der Grund, warum es für den Mac quasi keine Viren gibt.

Trojaner sind aber eine andere Sache, ich erläuterte es bereits.
Keine nach meinem Kenntnisstand. Denn ein Virus kann sich heute per Internet in Sekunden um den ganzen Erdball verteilen und Millionen Computer infizieren. Das geht so schnell, dass selbst die AV-Autoren davon noch nicht mal schaffen Kenntnis zu bekommen. Dann muss ja auch noch eine Signatur geschrieben und das Virus muss analysiert werden. Das dauert einige Stunden. Daher schaffen AV-Programme es heutzutage gar nicht mehr eine Infektion zu verhindern. Von der Problematik, dass AV-Programme durch die Viren manipuliert werden, will ich nicht erst anfangen.

Gerhard Uhlhorn:

Nein, das ist eigentlich gar nicht ungewöhnlich, das ist nur für Dich anscheinend ungewöhnlich, weil Du bisher fälschlicherweise davon ausgehst und Dir das auch gerne einflüstern lässt, dass ein Trojaner "den Benutzer angreift" und nicht das System. Denn die Definition eines Trojaners ist eben nicht die Verengung auf allein den Benutzer. Und die Definition, die Du da von Dir gibst, ist viel allgemeine bzw. sollte viel allgemeiner verstanden und angewendet werden: ein Trojaner ist etwas Anderes als er vorgibt zu sein. Fertig, aus. WEM gegenüber er das vorgibt, steht frei. WER oder WAS da getäuscht wird bzw. sich da täuschen lässt, ob ein Gegenüber a) in menschlicher Gestalt oder b) in Gestalt einer Maschine bzw. eine elektronische Komponente ((System-)Programm, (System-)Bibliothek oder -Framework), ist aus Trojaner-Sicht und im Sinne des Täuschens im Grunde völlig irrelevant -- Hauptsache, er täuscht und gibt sich als was Anderes aus als er ist.

Und genau der zweite Fall, also b), greift immer mehr um sich. Flashback z.B. trat in beiden Erscheinungsformen aus. Zuerst in der sichtbaren Form, getarnt als Flash-Installer (daher auch der Name des Trojaners). Angewiesen auf die Interaktion mit dem menschlichen Benutzer. In seiner späteren 2., 3. und 4. Generation jedoch trat er überhaupt nicht mehr sichtbar auf, war nicht mehr angewiesen auf irgeneine Interaktion mit dem menschlichen Benutzer (sondern nur noch auf die Interaktion mit den ihm gegenüber seienden elektronischen Komponenten, aus Sicht des Trojaners also dem elektronischen Nutzer), installierte sich dann klammheimlich und ohne dass der menschliche Nutzer was davon mitbekam meist per Drive-by-Download über eine Kombination aus von Apple zu lange offen gelassener Java-Lücke und der mangelnden technischen Fähigkeit von XProtect, sowas zu bemerken und Alarm zu schlagen, auf tausenden bzw. zigtausenden von Macs. Bemerkenswert am Rande: Bestimmte spätere Versionen von Flashback machten einen Check, ob bestimmte AV-Software (u.a. auch Clamav) auf dem Mac installiert war und taten bei Vorhandensein einer solchen Folgendes: sie installierten sich gar nicht erst bzw. löschten sich gleich selbst wieder, noch bevor sie sich niederließen bzw. ihr schädliches Tun (z.B. Nachladen weiterer Komponenten) anfangen konnten. Grund: Um von der ausgemachten AV-Software nicht entdeckt zu werden bzw. keine Spuren zu hinterlassen.

Und damit hast Du zum allerersten Mal begriffen bzw. bist auf einer heißen Spur, was es damit auf sich hat, dass hier in dem Beispiel nicht der Benutzer ausgetrickst und angegriffen wird, sondern das System oder eine seiner Systemkomponenten oder Programme. Wenn in diesem Fall Safari oder eine seiner Komponenten (z.B. die von ihm benutzte Systemkomponente PDF Kit) fehlerhaft ist oder gar per default so eingestellt ist, dass er sowas automatisch ausführt, dann ist ER derjenige welche, der durch eben diesen eingebauten und stattgegebenen Automatismus dem Trojaner gegenüber die Haustüre öffnet und ihm das grüne OK gibt. Nicht der menschliche Benutzer. Der menschliche Benutzer hat da höchstens das Nachsehen und wundert sich später, dass da ohne sein Zutun und ohne dass er drauf aufmerksam gemacht oder gefragt wurde, offenbar irgendwas passiert ist, dem er, würde er gefragt werden, bevor's geöffnet, nicht unbedingt stattgegegben hätte.

Schon allein das Anschauen eines ggf. maliziösen PDFs in Safari oder auch nur die Vorschau-Funktion im Finder oder in Mail.app bedeutet bzw. kann bedeuten: Nutzung der evtl. fehlerhaften Systemkomponente und Ausführung der genau darauf abgestimmten Schadroutine, die sich in diese fehlerhafte Systemkomponente gezielt einhakt), Stichwort: Drive-by-Download-Infektionen : Besuchen/Anschauen einer maliziösen Webseite (z.B. verseucht durch ein maliziöses Flash-Werbebanner oder ein maliziöses PDF) reicht leider schon so manches Mal, da eben schon allein das Anschauen so gesehen werden kann, dass der Browser irgendwas aufruft (bei eingebettetem Content z.B. den Flash Player oder die JRE oder den PDF Reader) oder nachlädt zum Beispiel via Ajax bzw. HTTP-Request, um darstellen zu können. Nix Benutzer mitbekommen. Nix Benutzer gefragt. Nix Benutzer überrumpelt. Nein, System oder Systemkomponente oder Programm/Zusatzprogramm unter Vorspielung falscher Tatsachen bzw. mit einem nach vorne gehaltenen Schild von etwas Gültigem, Unscheinbaren ausgetrickst und überrumpelt.

Verstehste jetzt so langsam, dass ein Trojaner eben mitnichten ausschließlich den Benutzer austrickst, sondern dass das Austricksen bzw. das Opfer viel allgemeiner gesehen und begriffen werden sollte und eben nicht allein auf den menschlichen Faktor, und da eben durchaus doch auch Systemkomponenten bzw. Programme ausgetrickst werden, die zunächst was Anderes annehmen sollen als tatsächlich dahintersteckt und auf diese Weise überrumpelt werden sollen. Völlig ohne, dass der Benutzer irgendwas davon merkt und merken soll und ohne, dass er an irgendeinem Punkt der Infektion groß Entscheidungs- und Eingriffsmöglichkeiten hat, diese zu verhindern. Weil er's gar nicht mitbekommt. Und ihn auch nichts warnt, wenn er nicht einen Helfer zur Seite hat, der mehr Augen und Sinne hat als er selber. Da nützt auch kein Brain 2.0, wenn er davon gar nichst mitbekommt und das Ganze unter seinen wachsamen Augen untendurchfliegt und er auch keinerlei andere Sensoren aufgestellt hat, die für ihn als "dritte Hand" fungieren könnten und ihm nach dem Prinzip "Vier Augen sehen mehr als zwei" eine Sensorikerweiterung sein können.

Es gibt Trojaner, die kommen so plump daher und verkleiden sich als anderslautendes legales Programm, zu dessen Ausführung sie den Benutzer verführen. Das ist die eine Sorte von Trojanern. Sie wendet sich tatsächlich an den Benutzer, will ihn veranlassen, etwas zu tun, das er besser lassen sollte.

Die andere Sorte von Trojanern tritt gar nicht erst sichtbar in Erscheinung, wird vom Benutzer gar nicht erst bemerkt, soll von ihm auch gar nicht bemerkt werden, er hat somit auch null Eingriffsmöglichkeiten in dem Moment. Und was er nicht weiß, kann er nicht hindern. Und solche Trojaner klinken sich unter dem Radar des Benutzers fliegend in evtl. vorhandene Lücken von System- oder Programmkomponenten ein und bedienen sich des normalen Automatismus, der unter der Haube bei normaler Nutzung des Systems und seiner Programme stattfindet, um diese Programme überhaupt normal nutzen zu können.

Auch deshalb ist es so enorm wichtig, dass vor allem Web-Browser aber auch email- und Chat-Programme (im Grunde alles, was direkt mit dem WWW in unmittelbarer Berührung steht) keine bzw. möglichst wenig Lücken haben und wenn sie welche haben, dass diese möglichst rasch geschlossen werden und vor allem: diese Patches auch rasch an die Nutzer weitergereicht werden. Am Besten innerhalb weniger Stunden bzw. weniger Tage. Was das angeht, einfach mal vergleichen, wie schnell Mozilla und Google brauchen, um zu patchen (Rekord: innerhalb von 26 Stunden seitens Mozilla zwischen Meldung, Patch und Auslieferung eines Updates), und wie lange sich Apple für sowas im Durchschnitt Zeit lässt und lieber erstmal ordentlich sammelt und seine Nutzer lieber auf die Patches warten lässt (die solange ungepatcht unterwegs sind und der betreffenden Bedrohung damit schutzlos ausgeliefert sind).

Gerhard Uhlhorn:
Folgerichtig müsstest Du dann auch gegen das Impfen des Menschen sein gegen verschiedene Krankheiten. Denn das erste Auftreten verhindert es auch nicht oder nicht immer (z.B. eben bei einem Nicht-Geimpften). Wohl aber hilft es, eine weitere Ausbreitung bzw. die Übertragung auf andere Menschen mindestens zu verlangsamen, wenn nicht sogar zu stoppen.
Naja.

Und auch, dass der menschliche Körper auf natürlichem Wege gegen verschiedene Bedrohungen Antikörper in sich trägt, sie regelmäßig bildet und auffrischt oder man sie durch zusätzliches Impfen künstlich zuführt, müsste dann ja alles völliger Humbug und unnütz sein. Weil ja selbst eine früh- und rechtzeitige Eingrenzung einer Bedrohung nicht möglich ist durch die körpereigenen Verteidigungskräfte und sowas ja sowieso stets mit Verzögerung bzw. zu spät einsetzen würde, wenn man Dir Glauben schenkt.
Naja.

Und auch regelmäßige Vorsorgeuntersuchungen wie z.B. Krebsvorsorge sind dann Deinen Worten folgend analog also völliger Humbug und überflüssig. Kommt doch eh zu spät, und der Schaden bzw. die Bedrohung kann nicht vernichtet, oder wenigstens eingegrenzt oder verlangsamt werden, sollte ein Befall oder Anfangsstadium festgestellt worden sein.
Naja.

Ich frage mich desweiteren, warum Apple sowas wie XProtect anbietet und sich, genau wie der Rest der AV-Anbieter, regelmäßig die Mühe macht, Signatur-Updates zu schreiben und unters Volk zu bringen. Wo das alles doch eh stets zu spät kommt und offenbar niemandem nutzt und es im Zweifel sowieso mehr Schaden als Nutzen bringt. Also entweder sollte Apple Dich als Berater einstellen, damit sie von Dir und Deiner fachlichen Expertise lernen können, oder Du liegst mit Deinen Ansichten ein bisschen daneben und erzählst einfach nur unlogisches, verklärtes Zeug, das an den Tatsächlichkeiten vorbeigeht.


Nichtsdestotrotz und bei aller Meinungsdifferenz: Auch Dir Frohe Weihnachten!

XProtect ist keine typische AV-Software, sondern ein Anhängsel für die Launch Services, um beim Öffnen von bekannt schädlichen Downloads zu warnen. Hier ist eine Liste, was typische AV-Software und XProtect unterscheidet.

Hier schreibt sierkb, daß er sich die einzig relevante Malware für Macs eingefangen hat und seine AV-Software ihn nicht davor beschützen hat. Selbst das Löschen der Malware hat er lieber manuell gemacht

sierkb
Deine Definition von Trojaner und der damit einhergehenden Einschätzung, das System könne ebenfalls von Trojanern angegriffen werden, trifft aus meiner Sicht nicht zu.

In Wikipedia wird für Trojaner folgende Erklärung angegeben:
"Als Trojanisches Pferd ... bezeichnet man ein Computerprogramm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt."

Für Drive-By-Downloads hattest Du ja schon einen Verweis auf Wikipedia angeführt. Da steht:
"Ein Drive-by-Download bezeichnet das unbewusste (engl. Drive-by: im Vorbeifahren) und unbeabsichtigte Herunterladen (Download) von Software auf den Rechner eines Benutzers. Unter anderem wird damit das unerwünschte Herunterladen von Schadsoftware allein durch das Aufrufen einer dafür präparierten Webseite bezeichnet. Dabei werden Sicherheitslücken eines Browsers ausgenutzt, denn definitionsgemäß ist mit HTML-Inhalten oder Browser-Skriptsprachen ein Zugriff außerhalb der Browser-Umgebung nicht möglich."

Ich unterscheide zwischen Trojanern, die Anwender angreifen (z. B. durch falsche Behauptungen) und Angriffen, die auf Sicherheitslücken des System zielen und keine (direkte) Anwenderaktion erfordern.

Deine Argumentation, das System würde getäuscht, ist aus meiner Sicht unzulässig, da ein Programm nicht getäuscht werden kann. Dazu müsste es eigenständige Willensentscheidungen treffen können. Das spreche ich Maschinen im allgemeinen und Computerprogrammen im besonderen, ab. Bei Programmen wird, nach meiner Definition, demnach immer eine Sicherheitslücke ausgenutzt.

Das Ganze artet mir jedoch zu sehr in Wortklauberei aus.

Wo ich Dir jedoch in Deiner Argumentation zustimmen muss, ist Dein Vergleich mit der Impfung.
AV-Software kann die generelle Infektion (einiger) Rechner nicht verhindern. Für viele kann AV-Software aber hilfreich sein. Insbesondere der Personenkreis, der keinerlei Interesse an Computersicherheit hat und entsprechende Artikel gar nicht erst liest.

Meine Meinung dazu hatte ich ja schon erwähnt. Ich halte mich für "auf dem laufendem" und denke, dass ich eine neu anrollende Welle von Schadsoftware frühzeitig mitbekomme. Dann kann ich entscheiden, wie ich damit umgehe. Anders macht es AV-Software ja auch nicht. Meine Variante hat lediglich den Vorteil, dass ich den Rechner derzeit nicht mit zusätzlicher dauernd laufender Software beschäftigen muss.

Gruß, Stefan Mettenbrink.

Keine typische, das ist richtig. Aber es ist Anti-Schadprogramm-Software, Anti-Malware-Software, allgemein unter dem Namen AV-Software geläufig (weil der Ausdruck historisch so gewachsen und eben nicht mehr wegzukriegen aus dem allgemeinen Sprachgebrauch, auch wenn Anti-Schadprogramm-Software sachlich richtiger wäre).

Aha. Und mit welchem Sinn und ZWECK? Einfach nur so, und weil den Apple-Entwicklern langweilig war? Oder doch eher, um eben als das zu dienen, was Du da versuchst bloß nicht auszusprechen -- als AV-Software? Warum gibt es übrigens im OSX System verankert tief im System eine zu XProtect zugehörige App zum Entfernen von bestimmter Schadsoftware (MRT.app -- Malware Removal Tool, liegend unter /System/Library/CoreServices/MRTAgent.app/), die von Apple zuweilen aktualisiert und auf Zuruf aufgerufen wird per launchd (launchd-Skript liegt unter /System/Library/LaunchAgents/com.apple.mrt.uiagent.plist) bei dem einen oder anderen Sicherheits-und Java-Update?

Inhalt der deutschen Localized.strings-Datei dieser App (zu finden unter /System/Library/CoreServices/MRTAgent.app/Contents/Resources/German.lproj/Localized.strings):

(Nebenbei in Richtung Gerhard Uhlhorn: noch immer der Meinung, dass XProtect nur guckt und meldet und niemals was entfernt?) Warum gibt es dann tief im OSX-System diese MRT.app mit genau einem solchen Zweck, den Du in Abrede stellst, warum gibt es eine launchd-Datei, um MRT.app aufzurufen?

Warum gibt es das? Warum nennt Apple das wohl so? Und welchen Zweck hat es? Däumchen zu drehen? Den Apple-Entwicklern war also langweilig, deshalb existiert das bzw. wird zuweilen mal von Apple aktiviert und danach wieder schlafengelegt?

Weil ich clamXav in Bezug auf die Ordner-Überwachung falsch konfiguriert hatte! Es war also MEIN ureigener Fehler in Bezug auf ClamXav. ClamXav ist da nichts anzulasten, der hat nur getan bzw. in diesem Fall nicht getan, was ich ihm per Konfiguration befohlen hatte.

Aber es war klar, dass Du so tief wühlen wirst und genau dieses wieder hervorzukramen, als ich damals ehrlicherweise im MTN-Forum schrieb, zu meinem eigenen Erstaunen Flashback bei mir auf der Platte gefunden zu haben, um es als großen Gegenbeweis gegen die Wirksamkeit von Clamav und AV-Software ins Spiel zu bringen. Um mich dann hernach persönlich per email anzuschreiben, ob ich Dir doch bitte Samples von dem Teil zukommen lassen kann; ich hatte Dir daraufhin Dein Begehren eine Absage erteilen müssen, da ich keine mehr hatte bzw. sich das Teil teilweise schon selbst zerstört hatte, ich verwies Dich aber auch eine Seite, auf der ich wähnte, dass Du da Samples bekommen kannst.

Meinen Fall hast Du dann ja auch in Deinem Interview gegenüber GIGA vor einiger Zeit aufgegriffen, sozusagen als Kronzeugen-Fall gegenüber AV-Software insgesamt, freundlicherweise ohne Namen zu nennen. Mein persönlicher Fehler, dass ich selber es war, der ClamXav falsch angewiesen bzw. in seinem Scan-Radius zu lasch eingestellt hatte, dient Dir also als Herzeige-Fall, um gegen AV-Software insgesamt zu argumentieren. Ist das redlich, ehrlich, ist das seriös, was Du da machst? Die Dinge stets so zu drehen und zurechtzubiegen und zu stutzen und ihnen dann eine entsprechende Kommentierung geben, so dass sie dann in Deine beabsichtigte Argumentationslinie passen? Ich sage: nein.

Aber anders kennen wir Dich auch nicht, so bist Du halt anscheinend und wirst Dich da wohl leider auch nicht mehr ändern.



Nichtsdestotrotz auch Dir Frohe Weihnachten.

sierkb
Quelle:
Aber überwiegend. Alles Andere ist die seltene Ausnahme, wie z.B. beim automatischen ausführen von Downloads.

Es ist natürlich ein Problem, wenn ein System alles automatisch installiert, was auch nur in die Nähe des Computers kommt. Bei solchen Automatismen braucht man den Benutzer nicht. Das ändert allerdings nichts an der Definition eines Trojaners, und es ändert grundsätzlich nichts daran, dass (normalerweise) der Benutzer über seine Leichtgläubigkeit angegriffen wird.
Ja, aber aus anderen Gründen: Es gibt nämlich keinen wissenschaftlichen Beweis, dass Impfungen helfen. Dafür gibt es viele Hinweise, dass Impfungen mehr Probleme verursachen als sie lösen (Stichwort: Impfschadenrisiko).
Eine früh erkannte Krankheit lässt sich besser heilen als wenn sie schon weit fortgeschritten ist. Ob aber ein Computer frisch infiziert ist, oder schon seit Wochen, macht – im Gegensatz zum Menschen – keinen nennenswerten Unterschied.

Eben.
Ja, dem stimme ich zu.

Das ist eine schlichte Killer-App, die Apple in akuten Fällen gezielt gegen definierte Ziele, beispielsweise Flashback, mit der "Software Update"-Funktion rausschickt und benutzt. Die ist unabhängig von XProtect und ist ebenfalls keine typische AV-Software.

Dein Fall war nur einer von vielen, denn keine einzige AV-Software hat Flashback aufgehalten. Nur Apples gezielt eingesetzte Killer-App.

Schau, Du betrachtest Dich doch als versierten Nutzer. Wenn Du und die AV-Software Deiner Wahl Deinen Mac nicht schützen konnten, was sollen dann erst all die normalen User da draußen tun? AV-Software ist selbst eine große Gefahr und steht vor einem unlösbaren Informatik-Problem:

Der Ansatz von Apple, vor gefährlichen Downloads so weit wie möglich zu warnen, fehlerhafte Plugins automatisch zu deaktivieren, und in akuten Fällen ganz gezielt eine spezielle Killer-App rauszuschicken, ist völlig ausreichender Schutz ohne die Nachteile von üblicher AV-Software.