Neben der ständig notwendigen Softwareaktualisierung gibt es für "The rest of us": https://de.malwarebytes.com/mac und für die "savvy users" bald das hier:
https://campaigns.f-secure.com/xfence mit dem Erbe von "Little Flocker": https://www.f-secure.com/en/web/press_global/news-clippings/-/journal_content/56/1075444/1968982

Klassische "Antiviren-Software" kann dagegen selten oder nie was.

Taugt das was? Und ist es sicher?

johnnybpunktone

Malwarebytes ist das einzige Programm (das nicht von Apple kommt) das von Apple Care empfohlen wird. Also sollte etwas daran sein.

Das sehe ich etwas anders. Malwarebytes fand bei mir nichts, Bitdefender aber schon einen Trojaner.

Bzgl. Little Flocker:

heise (06.04.2017): Mac-Sicherheitswerkzeug Little Flocker künftig bei F-Secure
Entwickler Jonathan Zdziarski arbeitet mittlerweile als Sicherheitsexperte bei Apple. Die Finnen übernehmen das populäre Tool, das unter anderem gegen Ransomware helfen soll.

Der Code des bisherigen Little Flocker, das in einigen Teilen auf Patrick Wardles BlockBlock basiert bzw. sich daran anleht (Zdziarski dankt Wardle da auch brav für dessen Mithilfe und dessen MAC-Framework, das er verwenden durfte), ist derzeit immer noch bei GitHub zu finden und einsehbar: , .


Von Thomas Reed von MalwareBytes ist vor wenigen Tagen ein Blog-Eintrag erschienen, der zum Thema Malware auf dem Mac aktuell was sagt (und wer sich mit der Materie beschäftigt, selber sehen kann und die Augen nicht verschließt, der sieht sich da bestätigt):

Malwarebytes Blog (08.03.2017): Mac security facts and fallacies
There are many Mac security myths circulating among users. So how can you tell if the advice you’re reading is fact or fallacy? Read on to find out!

Interessant, sehr lesenswert und aufschlussreich auch die Kommentare dazu darunter, vor allem die von Thomas Reed selber (wo er sich noch sehr zurückhaltend äußert, um es mal vorsichtig zu formulieren).

Thomas Reed hat jahrelang ein Blog geführt zum Thema Sicherheit und Schadsoftware auf dem Mac: "The Safe Mac" und hat dann irgendwann die Software AdwareMedic angeboten, womit man zunächst bestimmte Adware, dann auch weitere Schadsoftware entfernen konnte, wenn man infiziert war. Thomas Reed hat im vergangenen Jahr bei MalwareBytes angeheuert, sein AdwareMedic ist in MalwareBytes AV-Mac-Software aufgegangen bzw. wird dort nun unter dem Dach und mit neuem Namen versehen von MalwareBytes bzw. Thomas Reed weiterentwickelt. Sein Blog betreibt Thomas Reed weiterhin unter dem Dach von MalwareBytes weiter, er ist dort zuständig für die Mac-Abteilung und deren Mac-spezifische AV-Software.

Thomas Reeds lesenswerte und aufklärenden Blog-Einträge von "The Safe Mac" sind unter immer noch zu finden und jederzeit wert, gelesen und zitiert zu werden. Jeder einzelne davon. Ich habe in der Vergangenheit desöfteren hier welche davon verlinkt und zitiert gehabt. Weil das schlicht und einfach stimmt, was darin steht und leider nur wenige Zeitgenossen sich die Mühe machen, an dieser Front tatsächlich aufzuklären statt zu vernebeln und kleinzureden und ggf. auch mal den Finger in die Wunde zu legen und zu benennen, wo es hakt und warum (grad' auch an der Front von Apples Lahmarschigkeit bei der Pflege der essentiellen und leider eh nur rudimentär seienden XProtect-Signatur-Updates).

Hier: OSX 10.7.5. Security by obscurity! Schadsoftware bitte wegkucken! Nicht mal Malwarebytes will auf dem antiken System noch laufen.

Jaja ich weiss, aber ich hab meinen aktuellen Mac gerade verschlampt.

Welche alternative OS würdet ihr für ein uralt MB 2,1 empfehlen? Die etwas exotische Kombination aus 64-Bit CPU und 32-Bit EFI scheint für viele Linuxdistributionen problematisch zu sein, die wollen auch mit rEFInd nicht starten.

Apple hat personell und kapitalmäßig sehr hohe Ressourcen, um macOS sicherer zu machen. Scheinbar hat aber die Sicherheit nicht gerade oberste Prioriät.

Mr. Cook, ändern Sie das.

Ist doch sicher und Sicherheit ist ansonsten relativ.

Mac- oder Windows-Trojaner?

osxhackers.net (MacPostFactor)
damit läuft z.B. dann 10.8.5 auf dem 2,1er MB. Wenn man mit "spärlicher" Grafikunterstützung leben kann, geht auch noch neueres OS X darauf

Windows 7. Ernsthaft.

Windows 7 wird wenigstens noch unterstützt, 10.8 ja auch schon länger nicht mehr.

Debian wie ich seit Release meines MacPro 1.1 (umgebaut auf 2.1). Und Probleme gibt es wie du hier schilderst nicht !

Ja das würde mich auch interessieren. Mir würde es erstmal nur darum gehen, dass mein Rechner ok ist, nicht ausspioniert wird usw. Gebe für gewöhnlich auch nichts außer selbst erstellte PDF und .docx ohne Macros an andere weiter...

Wenn es nach den Ressourcen gehen sollte, wären ja Windows und Android die sichersten Betriebssysteme der Welt. Oder?

Also der Trojaner wurde auf meinen Mac gefunden, oder gibt es windows trojaner auf dem Mac? I don't know

Ja, in Mailanhängen...

Bei mir war es tatsächlich ein Mac-Trojaner (ebenfalls gefunden durch Bitdefender (App Store Version), während Malwarebytes dabei versagt hatte) – der schlummerte in einem Zip-File, dass ich noch nicht geöffnet hatte.
Das Erschreckende war, dass das File für die breite Masse bestimmt war, also rein gar nicht Mac-spezifisch, denn es ging um den Selbstbau einer WLAN-Antenne. Man sollte eben niemals bei Chip etwas runterladen.

Ich lasse so alle 3-4 Jahre auch mal ein Virenschutzprogramm auf meinen Macs laufen.
Es werden immer einige Viren und Trojaner gefunden.
ABER bisher (seit 1990) zu 100% nur irgendwelche Windowsschädlinge, welche beim öffnen sofort auf dem Mac krepiert wären.
Meist sind die in Mails drin.

maczock:

Eigentlich hätte Apples eingebautes XProtect als Bestandteil des Quarantine-Frameworks von macOS diesen Trojaner rechtzeitig erkennen und Dich warnen müssen (Zum Nachprüfen: steht er in /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara bzw. /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist drin? Nur dann kann das System von ihm überhaupt wissen und ihn erkennen, kannste vom System diesbzgl. gewarnt werden – was da nicht drinsteht an Schadprogrammen, ist für das System unbekannt, rutscht ggf. durch). Hat es das, gab's eine diesbzgl. systemeigene Warnung beim Download? Wenn nein, wer oder was hat Dich gewarnt und Dich drauf aufmerksam gemacht, dass das Ding verseucht ist? Um welchen gefundenen Trojaner handelt es sich, wie ist laut Deiner Erkennung dessen Bezeichnung?

Auf meinen Macs läuft seit längeren schon die Freeware Version von AVAST im Hintergrund. Das Programm hat schon des öfteren vor diversen Apps und Webseiten bei der Benutzung meiner Browser gewarnt. Zudem ist es möglich neben der Kontrolle, für jede Website extra zb. die "Verfolgung zu Werbezwecken" die "Internet Besucher Analyse" einzeln oder Gesamtumfänglich zu blockieren. Ein Scan des Rechners nach Malware ist damit ebenfalls möglich.
Die App und die die Virendefinitionen werden ständig aktualisiert.

Ist schon ein paar Wochen her. Wurde entdeckt, als ich Bitdefender mal ausprobiert habe, um meine ganzen Platten zu scannen, habe kurz nach dem Namen gegoogelt, weil ich eher an einen werbewirksamen „Fund“ geglaubt hatte, als an einen echten Ernstfall. Aber VirusTotal hatte auch einen Eintrag, den Namen hab ich mir leider nicht gemerkt. Natürlich gab es keine Warnung beim Download, aber zu dem Zeitpunkt kann er brandaktuell gewesen sein, da die Datei bestimmt mehr als ein Jahr alt war.

So natürlich ist das nicht. Eigentlich wäre genau das aber Aufgabe von macOS' eingebautem Schadprogramm-Scanner XProtect, sowas rechtzeitig zu erkennen und eine Warnung auszugeben und den Download zu blockieren, genau dazu existiert es.

Ein paar Wochen und ein Jahr her widerspricht sich jetzt ein wenig bzw. da ist dann doch ein Unterschied zu sehen... Hat denn XProtect nun inzwischen jenen Trojaner auf dem Schirm und in seiner Signaturliste stehen, kann ihn somit erkennen oder nicht?
Und der zusätzlich installierte Bitdefender hat den Schädling zu dem Zeitpunkt erkannt gehabt, während macOS eingebautes XProtect ihn zu dem Zeitpunkt nicht oder noch nicht erkannt hatte?

Klar, Malwarebytes durchsucht eben nicht jedes File und packt auch noch Archive aus, sondern testet nur auf bereits installierte Malware.

Download erfolgte wohl vor über 12 Monaten im Jahr 2015. Danach erfolgte Lagerung im passenden Ordner, um später vielleicht einmal bei Bedarf auf das PDF zugreifen zu können. Scan des Ordners, und Entdeckung des Schädlings, erfolgte erst lange nach dem Download (und zwar am 16.2. 2017).
War der Trojaner also zum Zeitpunkt des Downloads noch nicht bekannt, dann wird XProtect ihn nicht auch nich erkannt haben. Durchforstet XProtect denn regelmäßig überhaupt den Dokumente-Ordner (bezweifle ich) oder wird es nur bei File-Änderungen und neuen Files aktiv?

Das kann ich nicht wissen, da ich mir den Namen nicht gemerkt habe.

Ich mag solche "im Hintergrund"-Virenscanner nicht. Die fressen Performance, können das OS stören oder das nächste OS-Update, können sogar selbst ein Eingang für Exploits sein, und wenn deren Definitonsdatei einen kleinen Fehler hat, dann legt er sich entweder mit legitimer Software oder gar dem OS an, und könnte sogar das komplette Mailarchiv abräumen. So mit den Windows-Versionen derartiger "Antiviren-Software" alles schon vorgekommen, und daher gilt dieser Ansatz mittlerweile als...nicht mehr gut, um es milde zu tippen.

Moderne "Endpoint Security"-Software benutzt andere Ansätze, einfach mal regelmäßig c't und iX lesen.

Deswegen nutze ich beide einmal täglich manuell. Bitdefender vor allem, weil ich eben gezielt Files damit scannen kann.

macOS eingebautes Quarantäne-Framework mit XProtect als Speerspitze ist aber genau das. Jegliche Datei, die via GUI-Download auf dem rechner landet und jegliche Applikation, die via Finder (und der läuft ebenfalls die ganze Zeit) gestartet wird, durchläuft das Quarantäne-Framework, durchläuft einen Check gegen XProtect.plist.
Es sei denn, Du entfernst manuell via xattr -d com.apple.quarantine das erweiterte Datei-Attribut der betreffenden Datei/App, dann durchläuft es diesen Scan nicht.

Ist Xprotect.plist deshalb so klein, wird von Apple deshalb so klein gehalten, obwohl da mehr drinstehen und dadurch mehr erkannt werden könnte, obwohl da eigentlich mehr drinstehen müsste anghesichts dessen, was da draußen alles herumschwirrt?
Weil dann die Performance des Finders und der ganzen Bedienung des Macs einbrechen würde, weil jedes Mal gegen eine größere Liste gescannt werden müsste?
Der Finder ist ja jetzt schon schnarchlahm manchmal, ohne das was Du da abwehrst.
Die Frage ist: reicht das aus? Was ist mit alle dem Zeugs, das XProtect nur deshalb nicht erkennt, nur weil es schlicht und einfach nicht in der Signaturliste drinsteht? Müsste XProtect.plist eigentlich nicht viel größer sein? Wäre das nicht eigentlich ehrlicher? So geht Apple offenbar einen Kompromiss ein, geht offenbar bewusst das Risiko ein, dass viele inzwischen kursierende Schadsoftware unter dem Radar von XProtect durchfliegt, weil XProtect es nicht erkennt, dafür ist aber die Performance des Finders noch einigermaßen zumutbar (für einige schon jetzt nicht). Prügel bekommen dann andere, die halt größere Signaturlisten haben, gegen die gescannt wird, und das hat dann halt auch größere Performance-Einbußen als wenn man nur gegen eine klitzekleine Liste checkt, ein Großteil davon aber dann nicht erkannt wird bzw. angesichts der kleinen Größe erst recht nicht erkannt wird.

Wie groß wäre wohl die Performance des Finders, wenn XProtect.plist aktuell nahezu 1 Million Signatur-Einträge von für den Mac derzeit kursierender Schadsoftware jeglicher Art und Couleur hätte statt nur einer von Apple nach Lust und Laune ausgesuchten Hand voll? Nicht berauschend bzw. wahrscheinlich exorbitant im Keller, nicht wahr?
Aber was nutzt es der Sicherheit des Nutzers, wenn XProtect eigentlich kaum schützt und ein Großteil unter dessen Erkennungsradar durchflutscht, einfach weil es aus Performance-Gründen künstlich klein und somit künstlich unwissend gehalten ist und dann auch noch zusätzlich Apple Signatur-Updates dafür lange verschleppt oder auch lange gare nicht durchführt?

Der eigentliche Sinn von XProtect wird dadurch doch sehr geschmälert und arg geschwächt. Da kann zusätzlich installierte Drittsoftware mit dessen deutlich umfangreicheren Signaturen (grad' die Mac- und iOS-Plattform betreffend) durchaus eine Versorgungslücke schließen, nämlich diejenige Lücke, die XProtect bzw. Apple lässt. Und das sollte, denke ich, jeder für sich selber beantworten, ob er XProtect noch jemanden an die Seite stellen möchte, der im Zweifel erkennt was XProtect nicht erkennt (oder auch mal umgekehrt, sollte Apple dann doch mal schnell und zugiger reagieren als andere, was leider selten genug vorkommt). Auf XProtect alleine jedenfalls dürfte, so wie es derzeit aufgestellt ist, wohl eher kein Verlass sein. Darüber sind sich eigentlich alle Sicherheitsexperten, die sich damit beruflich befassen einig, heißen sie Thomas Reed, Mark Allan, Jonathan Zdiarski (nun bei Apple) oder auch Patrick Wardle. Bei allen Genannten ruft XProtect, so wie es derzeit aufgestellt ist und Apples stiefmütterliche Wartung von dessen Signatur-Datei ein müdes und bedauerndes Lächeln hervor, und sie nehmen es nicht ernst. Weil es so schlecht gepflegt ist und so wenig erkennt und so leicht zu unterlaufen ist und im Grunde reine Kosmetik und ein Feigenblatt ist. Würde Apple es besser pflegen und es besser ausbauen und ordentliche Signatur-Updates machen, die es in sich haben, wäre es sinnreicher, würde es einen echten Nutzen bringen. Bisher macht Apple aber leider keine Anstalten, da was zu ändern. Einzig YARA hat da nun offenbar Einzug erhalten. Das wenigstens lässt hoffen, dass da noch mehr draus gemacht wird. Zumindest ich hoffe es, und ich hoffe auch, dass Apple XProtect in Zukunft ausbauen und aufwerten wird und es nicht weiterhin so ein kümmerliches Dasein fristen lässt, das dessen Sinn und Zwecck so wie es ist, eigentlich total unter Wert brachliegen lässt und somit schlechter sein lässt als es könnte und sollte. Es rutscht zuviel durch, leider, und Besserung wäre Apple-seitig leicht möglich.

Ich möchte hier auf die Seite von macmark.de verweisen:


Aktuell empfehle ich zunächst allen meinen Kunden jegliche Art von invasiv-agierenden AV-Programmen zu deinstallieren:
Dazu gehören: Eset, Avast, Avira, Sophos, McAfee, Kaspersky, etc.
Jedes Mal wenn diese Software auf den Rechnern installiert war oder ist verhielten sich diese Rechner sehr komisch: Kein sauberes Runterfahren, keine automatische WLAN-Verbindungen, uvm.
Diese Probleme waren auch nicht nach den üblichen manuellen Reinigungsaktionen wegzubekommen und teilweise auch nach einer Migration aus dem TimeMachine-Backup wieder existent!
Meine aktuelle Empfehlungen
- Malwarebytes (manuelles Scannen)
- Bitdefender (manuelles Scannen, auch in Archiven und nach Win-Schädlingen)
- RansomWhere? (kleines Überwachungsskript)
Und ganz wichtiger Tipp an den Anwender selbst, wenn dieser eine Datei o.ä. öffnen möchte, im Zweifel nie!
Welche Quelle? Aktion erwarte? etc.

Was ich gerne machen würde, dass Bitdefender per AppleScript z.B. zeitgesteuert startet etc.
Leider ist dieses Programm nicht AppleScript-fähig, und könnte nur über Aktionen gestreut werden. Hier bin ich aber auch leider nicht so wirklich fit

Möglich, aber Nachteile gerade in Bezug auf Performance habe ich bislang keine feststellen können. Diesbezüglich habe ich schon einige andere Virenscanner alsbald wieder von der Platte terminiert. Einzig, vor längeren gab es mit AVAST mal ein Problem beim Aufrufen von Webseiten mit Chrome, welches zeitnah gefixt wurde.

Jeder so wie er meint....