Angst? Brauchen wir jetzt doch antiviren Programme?

"This malware may be attempting to copy the technique implemented by Windows malware, which opens a PDF file containing a ".pdf.exe" extension and an accompanying PDF icon. The sample on our hand does not have an extension or an icon yet."

In anderen Worten: Wir schlagen Schaum, wer kommt mit? Eine "exe" Extension würde unter OS X auch eine Menge anrichten...

Weitere Infos dazu:

The Register: Mac malware uses Windows-style PDF camouflage ruse

F-Secure (September 23, 2011): Mac trojan posing as a PDF file

F-Secure Virus Descriptions: Trojan-Dropper:OSX/Revir.A

F-Secure Virus Descriptions: Backdoor:OSX/Imuler.A

Sophos Naked Security (September 23, 2011): Mac OS X Trojan hides behind malicious PDF disguise

Die Übersetzung sagt nur, dass es die Technik mit der getarnten Endung, wie unter Windows mit pdf.exe, kopiert. Nichts darüber, dass die Datei eine exe ist;)

Matchi:

Du bzw. Dein System nutzt schon eines über MacOSX' Quarantäne-Funktion, ob Du willst oder nicht. Weil Apple es so will und so vorgesehen hat. Nennt sich XProtect, funktioniert im Grunde nicht anders als die Programme, die Du da grad' infragestellst, führt ebenfalls eine Signaturliste für Schadprogramme, kennt dabei aber aufgrund seiner (bisher) kleinen bescheidenen Signaturliste nur einen Bruchteil dessen, was andere voll ausgewachsene AV-Programme so insgesamt an Malware kennen. Macht nach 24 Stunden ebenfalls automatisch und im Hintergrund ein Signatur-Update (vorausgesetzt, eine Internet-Verbindung besteht zu diesem Zeitpunkt). Gibt Dir, wenn was bzgl. der XProtect-Signaturliste passt, per Popup-Meldung Alarm/Nachricht, dass da "irgendwas" ist (mehr dann aber auch nicht).

MacOSX' XProtect-Liste mit Schadprogramm-Signaturen liegt hier:
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect

Das hier sind die beiden Referenz-Dateien auf Apples Servers, mit denen sich XProtect regelmäßig automatisch via /usr/libexec/XProtectUpdater abgleicht:

http://configuration.apple.com/configurations/macosx/xprotect/1/clientConfiguration.plist (für Snow Leopard)
und
http://configuration.apple.com/configurations/macosx/xprotect/2/clientConfiguration.plist (für Lion)

XProtect kennt derzeit 19 Schadprogramme (incl. verschiedener Schadprogramm-Variationen desselben Typs) bzgl. MacOSX. So gut wie ausschließlich alles Trojaner. Also genau jener Typ von Malware, der seit Jahren auch Windows-Anwender mit Masse plagt.
Letzte Version von XProtect: 23 (wird nach jeder Aktualisierung +1 hochgezählt)
Letzte Änderung an der Signatur-Liste seitens Apple: Tue, 09 Aug 2011 02:38:55 GMT

NTFS kann das auch (Streams), die gehen beim Versand aber verloren. Gezippt sollten sie es aber überlegen.

Spitzen-Tarnung, die ungefähr so aussieht:

Wie gut das wir F-Secure haben. Wer würde uns sonst alle paar Monate einen Proof-Of-Concept Trojaner programmieren und dann davor warnen?

Die Tarnung funktioniert, weil 90% der Anwender das Dokument ja öffnen wollen und nicht lange überlegen, was die Meldung jetzt wohl zu bedeuten hat!

Wie Charlie Miller gähnend ganz richtig kommentiert:

macnn: Mac Trojan may funnel files, screenshots to distant servers :

die malware ist wie gewohnt nicht schlimm...

Wenn Du's nicht ernstnimmst -- Apple nimmt's offenbar ernst (jedenfalls ernster als Du). Bzw. hat's bereits ernstgenommen und entsprechend reagiert. Und stellt seit heute abend ein entsprechendes Signatur-Update für die XProtect.plist bereit, welche mittels /usr/libexec/XProtectUpdater und launchd automatisch auf die Rechner der Benutzer gelangt oder bereits gelangt ist. Mit je einer Signatur für OSX.QHost.WB.A (Backdoor) und für OSX.Revir.A (Trojaner, der die Backdoor nachlädt und an Bord holt). XProtect.plist ist nun bei Version 24 (Snow Leopard) bzw. bei Version 1003 (Lion), last mofification: Fri, 23 Sep 2011 18:03:15 GMT.

Wie, ich denke Apple ist immer so langsam im fixen

Es gibt wohl weit mehr unbedarfte Nutzer eines Rechners als grundsätzlich misstrauische, ohne deshalb gleich Angst zu haben. Deshalb, also weil der Großteil der Nutzer und damit auch der größere Teil am Mac-Nutzerzuwachs ohne viel zu überlegen PDFs öffnet, obwohl der Hinweis auf ein Programm kommt, mal eben so auch brav Kreditkartendaten angibt weil eine Webseite was von entdeckten Schädlingen erzählt in einem Finder-Nachbau, der Programme listet, die viele Nutzer nicht mal auf dem Mac haben, deshalb wird diesen Nutzern mehr und mehr durch XProtect ein bisschen durch Apple geholfen.
Etwas mehr Misstrauen bei Abfragen beim Öffnen einer Datei (Programm aus dem Internet, Admin-Passwort etc.), etwas weniger Features bei Adobe-Software zulassen, nicht alle Programmversionen mit nur neuen Features gleich holen, sondern erstmal warten bis ein-zwei updates später auch die Sicherheitslücken zu diesen neuen features geschlossen sind und aber sonst natürlich auf Sicherheitsupdates achten - damit ist man zwar nicht zu 100% sicher vor Schadsoftware, aber kann auf solche Schreckensmeldungen auch leichter mal drei Wochen warten, bis Apple einen neuen leicht schaumig aufgeschlagenen Schädling mit zu den Erkannten in die Liste mit aufnimmt.

Ich korrigiere mich (sorry, hatte ein manuelles diff meinerseits falsch interpretiert bzw. meine von mir angelegte XProtect.plist.old um eine Version zu alt):

OSX.QHost.WB.A hat mit dem jetzigen Update nichts zu tun, ist kein Backdoor, sondern ein klassischer Trojaner (manipuliert /etc/hosts) und ist Gegenstand des vorherigen XProtect-Updates Nummer 23 vom 09. August gewesen.

Gestern neu hinzugekommen ist bei der XProtect.plist einzig die Signatur für den Trojaner-Dropper OSX.Revir.A, welcher die Backdoor namens OSX.Imuler.A nachladen soll (und dies bislang nicht/noch nicht tut).
Die Signatur für das eigentliche Hauptprogramm, die nachzuladende Backdoor OSX.Imuler.A, steht seitens Apples XProtect allerdings noch aus (ist insofern von Belang als dass es ja nicht zwingendermaßen nur einzig und allein OSX.Revir.A sein muss, welcher die Backdoor OSX.Imuler.A nachlädt).

Diese "Lücke" füllt derzeit u.a. Clamav bzw. ClamXav, dort gibt es seit heute Nacht genau diese in XProtect.plist (derzeit noch?) fehlende Signatur für die eigentliche Backdoor MacOSX.iMuler-1. Und in Kürze dann auch die Signatur für den ersten Teil dieses Zweiergespanns, den Trojaner-Dropper MacOSX.Revir-1 (steht dort derzeit noch in der Überprüfungs-Warteschlange, um's in die daily.cvd zu schaffen).

Ob und wann Apple eine Signatur auch für den 2. Teil, den eigentlichen Hauptteil dieses Zweiergespanns, die Backdoor OSX.Imuler.A, bereitstellen wird, müssen wir abwarten.

die vgdia exe kopiert sich selbst ohne zulässigen interupt...das gibst doch eigentlich gar nicht, oder ?!

ich glaub nicht, dass auf dem Mac die nächsten Jahre was kommt...

Ach wie süss die paar Fanboys alles wieder als ungefährlich abtun wollen. OS X ist keinen Deut sicherer als ein anderes OS...

MacMark

OSX zeigt dieselbe unsinnige Meldung auch bei simpel heruntergeladenen HTML-Dateien an.

Im Endeffekt, bewirkt Apple genau das Gegenteil.

Lokale HTML-Dateien mit JavaScript im lokalen Kontext ausgeführt sind durchaus Grund zu warnen.