[10.6 Snow Leopard] BKA-Virus und ClamXAV

[magAepfel]

Hey Leute,

mich hat gerade dieses "Bundeskrimalamt - Zahlen sie... Ihr Browser ist gesperrt"-Fenster im Firefox erwischt. Den Browser konnte ich nur "sofort beenden", beim zweiten und dritten öffnen, kam sie Meldung dann aber direkt wieder, ich konnte also nicht normal weitersurfen.

So, jetzt ist die Meldung verschwunden. Und ich lasse ClamXAV (Mac 10.6.8) durchlaufen, der Wächter war vorher nicht an, da er immer Probleme beim Autostart macht. Aber wie kann ich eigentlich sicher gehen, dass ClamXAV noch ClamXAV ist und nicht auch ein Virus?

Ist jetzt alles okay mit meinem PC, da die Meldung nicht mehr kommt, wenn ich Firefox aufrufe oder muss ich mir sorgen machen? Waaa, Hilfe!

Grüße
magAepfel

 

[keine Ahnung]

Das war Malware für Arme, die sich jetzt auf dem Mac als ClamX AV tarnt...

 

[magAepfel]

Sorry, was meinst Du, keine Ahnung? ClamXAV hatte ich schon vorher drauf, und scanne jetzt? Womit soll ich den PC durchforsten lassen?

 

[keine Ahnung]

War ein Scherz. Du kannst Clamx AV durchlaufen lassen, wenn es deine Nerven beruhigt. Unabhängig davon kannst du den Cache leeren und den Browser zurück setzen, das ist sinnvoller. Wie das bei Firefox geht, weiß ich allerdings nicht, da ich nur Safari nutze.

 

[magAepfel]

Cache usw. hab ich schon geleert. Hoffe, ClamXAV hilft. Sollte ich noch Sophos laden und damit auch nochmal durchgehen?

 

[keine Ahnung]

Bitte KEINE andere AV-Software installieren, sonst hast du bald wirklich ein Problem! Siehe auch:Warnung vor Cleanup Tools, Antvirenprogrammen & co

 

[magAepfel]

Okay, also ClamXav 2.6.1 (304) läuft drüber. Es ist eingestellt, dass er identifizierte Dateien löscht. Wenn er nichts findet, kann ich dann beruhigt sein? Ist ClamXav kompetent genug? Ich bin immer noch panisch... :/

 

[VisioNOIR]

Naja, zu meien WinDOS-Zeiten habe ich immer gesagt: "ein kompromittiertes System ist keine vertrauenswürdiges System mehr"; denn man weiß nie, was das Fremdprogramm auf der HDD verändert hat, Dein Misstrauen gegenüber ClamXav ist im Prinzip also berechtigt.

Nur befindest Du Dich mit Mac OS in einem (immer noch) sehr guten Unix-System. Und Unixe sind nicht mal eben so einzunehmen. Entsprechend, wenn Du keinem wildfremden Prozess via Passworteingabe Administrator-Rechte gegeben hast, wird ClamXav nicht (durch Manipulation Dritter) lügen; da Dritte nicht auf die Dateien von ClamXav schreibend (gar lesend) zugreifen können.

All safe! Keep calm, you are on an Unix!

 

[keine Ahnung]

Keine Panik, du kannst beruhigt sein! Blättere mal die News durch, dort findest du einen Artikel zu dem "Virus". Ist aber schon ein paar Tage her.

Nachtrag: Dort kannst du, wenn ich mich recht erinnere, auch nachlesen, dass dieser Bösewicht nichts anderes gemacht hat als das, was du ohnehin bemerkt hast.

 

[magAepfel]

Eure Beiträge hören sich sehr gut an!

Als ich nach der BKA-Fenster-Schließerei mit ClamXAV scannen wollte, wollte er wie schon vor einigen Tagen die neue Version runterladen. In meiner Paranoia habe ich ein Gespenst in der Aktualisierung gesehen und habe dann ganz fix ClamXAV nochmal neu heruntergeladen und neu installiert, und natürlich bei der Neuinstallation auch das Admin-PW eingegeben. Das war doch in Ordnung und es wurde das richtige ClamXAV installiert, keine Virus-Kopie, oder?!

(Sorry, die Fragen mögen dumm sein... da ich die Programme aber nicht hinterfrage, hab ich keine Ahnung von ihnen und weiss auch nicht, inwiefern sich Viren in Programme einschleichen können... Und in meinem Kopf spielen sich gerade die schrecklichsten Szenarien und Verschwörungen ab! )

 

[salome]

Hast du nicht gelesen? Auf dem Mac gibt es keine Viren und es schleicht sich gar nichts in ein Programm ein. Du bist ein Switcher und hast in deinem Kopf noch immer Windows-Szenarien. Jetzt hast du einen Mac. Da ist alles anders und die Gefahren sitzen meist vor dem Schirm.
Beruhige dich, wie keine Ahnung und VisioNoir schon gesagt haben.
Das Passwort beim Herunterladen von Programmen dient dazu, dir eine Nachdenkpause zu geben, ob du das neue Programm wirklich brauchst und sperrt alle Fremden aus. Niemand kann für dich Programme installieren. ClamXav wird nichts finden, aber lass es ruhig laufen.
Übrigens: Alle Programme sollten immer auf dem neuesten Stand sein – sie werden auch aktualisiert, wenn Sicherheitslücken bemerkt werden und gestopft werden. Das ist eine Sicherheitsmaßnahme, die sich bezahlt macht.
Salome

 

[echo.park]

Abgesehen davon, dass du nicht auf salome hören solltest, im Sinne von "es kann sich nichts selbst ohne Passwort installieren", das ist nämlich Blödsinn, ist die von dir angesprochene Sache tatsächlich ungefährlich.

Vermutlich war es das:

http://www.apfeltalk.de/forum/content/6345-osx-ransomware-fbi.html

http://www.apfeltalk.de/forum/browser-hat-gesperrt-t444763.html

// Edit:
Ein AV-Programm brauchst du aber nicht, dafür ist die Bedrohungslage dann doch zu gering.

 

[salome]

Wer klug ist, arbeitet nicht als Admin und kann daher tatsächlich nichts ohne ( Admin) Passwort installieren.
Warum du es dir zum Hobby gemacht hast mir zu widersprechen verstehe ich nicht.
Was glaubst du denn warum es das Adminpasswort ( unter anderem) gibt?
Ich sag's dir: unter anderem ist es dazu da, nur dem Admin zu erlauben, Programme zu installieren.

Verunsichere also bitte die User nicht mit deinem Überwissen.
Kluge Switcher und Mac- Neulinge haben Zwei User und arbeiten nicht mit Adminrechten. Außerdem ist ein 2. User oft zum Testen recht praktisch.
Salome

 

[echo.park]

Ich habe dir schon genug Beispiele genannt, in denen sich Malware "von selbst" im Hintergrund installiert hat, ohne, dass der Nutzer etwas davon mitbekommen hätte oder sein Passwort hat eingeben müssen. Leider finde ich den bzw. die Threads dazu jetzt nicht mehr.

Da gab es eine bestimmte Version von Flashback, die das "geschafft hat", das ist schon zwei Jahre her.

Es gab eigentlich seit 10 Jahren jedes Jahr das eine oder andere Trojanische Pferd für Mac OS X. Richtig weite Verbreitung fand allerdings nur eine spezielle Variante von Flashback letztes Jahr, die man sich beim Besuch von ganz normalen Blogs holen konnte, die ihrerseits infiziert waren. Es passierte ein Drive-by-Download und automatisches Starten des Schädlings, dessen Ziel es offenbar war, Netzverkehr von Safari abzuhorchen und zu manipulieren, um Werbeeinahmen zu manipulieren. Ich hatte bei Mac & i darüber geschrieben. Den Mac-Usern selbst hat er nicht geschadet, aber es wäre technisch kein Problem gewesen, das jeweilige User-Verzeichnis zu löschen oder zu verschlüsseln.

( http://www.apfeltalk.de/forum/lauchpad-app-malware-t444359-3.html#post4151322 )

Ganz aktuell erinnere ich mich an den Fall hier im Forum, bei dem der User sich beim besten Willen nicht erklären konnte, wie die Malware auf seinen Mac kam, trotzdem war sie da. Und auch eine "Autostart"-Funktion dafür wurde eingerichtet, ebenso ohne Wissen des Users.

Hier zu finden: http://www.apfeltalk.de/forum/lauchpad-app-malware-t444359.html

MacMark, auf den du ja offenkundig große Stücke hältst, hat das dann auch als Malware bescheinigt und auch eine Drive-By-Infektion für möglich erklärt. Also so etwas ist keine Science-Fiction. Kommt immer mal wieder vor.

Drive-By-Downloads sind möglich durch Sicherheitsfehler im Browser oder seinen Plugins, wodurch eine besuchte Seite einen Download ohne weitere User-Hilfe durchführen kann. Diese Art unbemerkter Downloads können unter jedem User passieren und werden in der Regel nicht markiert vom Browser, weil der das auch nicht mitbekommt, weil der Download nicht duch die Download-Funktionen des Browsers durchgeführt wird, sondern durch von der Seite in den Browser oder seine Plugins eingeschleusten Code. Ohne die Markierung weiß das System nicht, daß die Datei aus dem Netz kam und warnt darum auch nicht beim Öffnen.

( http://www.apfeltalk.de/forum/lauchpad-app-malware-t444359-2.html#post4150820 )

Auch gab es schon Malware, die hat zwar nach dem Admin-Passwort gefragt, sich aber trotzdem installiert, auch wenn man es ihr nicht gegeben hat. Nur eben ein wenig "anders". Da gab es dann eben eine "Ausweich-Routine" für den Fall, dass der User sein Passwort nicht eingibt. Auch hier habe ich leider keinen Link und auf die Suche gehen möchte ich dazu jetzt auch nicht.



// Edit: Zitat eingefügt.
// Edit 2: Weiteres Zitat eingefügt.
// Edit 3: Als Standard-User und nicht als Admin zu arbeiten ist aber sinnvoll. Da stimme ich zu. Das schützt nicht vor allen Bedrohungen schränkt aber ein.

 

[keine Ahnung]

Eine umfassende Darstellung möglicher Bedrohungsszenarien unter Mac OS mag grundsätzlich hilfreich sein. Ob sie hier sinnvoll ist, möchte ich bezweifeln: der TE reagiert schon auf Update-Hinweise eines Programms mit Panik und entwickelt nach eigenem Vorbringen paranoide Vorstellungen. Ein gesundes Maß an Vorsicht ist immer anzuraten, aber man sollte bei allem Hang zur Gründlichkeit vielleicht doch beim konkreten Problem des TE bleiben. Wer weiß, was er in seiner Panik noch alles anstellt und dann erst recht auf Hilfe angewiesen ist. Jemandem, der sich nicht mehr auf die Straße traut, erkläre ich doch auch nicht sämtliche Gefahren im Straßenverkehr. Sorry für das OT.

 

[echo.park]

Dann sollte der TE seinen Mac löschen und von einem Time Machine Backup wiederherstellen, natürlich eines, dass vor (!) dem Vorfall zuletzt aktualisiert wurde. Dann kann der TE auch wieder ruhig schlafen.

 

[biwo]

Hallo,

habe heute morgen folgenden Thread erstellt:

HALLO

Brauch dringend Hilfe..

heute morgen beim SURFEN in den Tiefen des Internets hat sich folgende Seite geöffnet:

Es war diese bekannte Seite von der GVU , die auch als Bundespolizei-Trojaner bekannt ist. (Dort wurde ich aufgefordert dass ich eine Straftat begangen hätte und 100Euro per Paysafe bezahlen sollte.) Daraufhin habe ich die Seite schnell wieder weggeklickt was auch ging.

Daraufhin habe ich mich versucht darüber zu informieren. Andere Nutzer schrieben, dass dadurch ihr PC gesperrt wurde oder ähnliches.. Dies war bei mir jedoch nicht der Fall....Nach dem Wegklicken der Seite konnte ich ohne Probleme weitersurfen...

Nun meine Frage:

Habe ich evtl auch mir diesen Trojaner geholt ?

Ist dieser Trojaner überhaupt auf dem Mac möglich ?
(auf einer anderen Seite stand etwas von a la: dies sei ein reiner windows trojaner und könnte auf dem Mac nichts bewirken)

Was kann ich tun ? Wenn ich mir evtl einen Trojaner eingeholt habe...?


Zusatzinfo:

Habe mit Safari gesurft; habe bisher noch kein Backup via TimeMachine gemacht..

Danke für eure Hilfe schon mal!!




Der Thread wurde anschließend zum Trash-Ordner verschoben.

Habe anschließend wie hier im Forum empfohelen den ClamXav drüberlaufen lassen.
Gefunden hat der nichts bis auf folgende Datei: Heuristics.Phishing.Email.SpoofedDomain

andere User hier meinten, dass das ungefährlich ist... ??

Wenn der ClamXav nichts gefunden hat, kann ich dann auch sicher sein, dass kein Trojaner auf meinem Mac drauf ist ??

Zum Schluss entschuldige ich mich nochmals für die ganzen dämlichen Fragen (bin halt kein Technikfreak )
und falls selbst in diesem Thread antworten schon genannt sind ebenfalls sorry-Wollte meinen speziellen Fall schildern und hätte daher auch gern Antworten speziell zu meinem Fall.... Danke !!!!

 

[FelixMacintosh]

Wenn der Scanner eine verdächtige Datei gefunden hat, lösch die und entleere den Papierkorb.
Damit sollte es eigentlich gut sein.
Du kannst natürlich auch den Rechner aus einem Timemachine Backup wiederherstellen, natürlich mit Datum bevor du dir den Mist eingefangen hast.

 

[biwo]

das funktioniert aber nur wenn ich vorher ein Timemachine Backup erstellt habe oder macht das Programm das automatisch?

Und wenn der Scanner nichts gefunden hat, kann ich dann sicher sein dass es gut ist.bzw wie macht sich ein Trojaner bemerkbar, wenn er es überhaupt macht .....????

 

[FelixMacintosh]

das funktioniert aber nur wenn ich vorher ein Timemachine Backup erstellt habe oder macht das Programm das automatisch?

Vermutlich ja.

Wenn der Scanner nichts gefunden hat entspann dich.

bzw wie macht sich ein Trojaner bemerkbar, wenn er es überhaupt macht .....????

Im schlimmsten Fall an deinem Kontostand.

Leg dir einfach ein anderes Surfverhalten zu...