Flashback-Trojaner: So sichert man Macs effektiv ab

Alternativen DNS-Server nutzen
OpenDNS blockiert nach eigenen Angaben Botnetz-Anfragen auf Basis des Trojaners Flashback. Durch die Filterung können selbst infizierte Rechner nicht mehr von Cyberkriminellen missbraucht werden. Die Nutzung der DNS-Server von OpenDNS ist kostenlos. Anwender müssen lediglich in der Netzwerkkonfiguration die beiden DNS-Server des Dienstleisters eintragen. Die IP-Adressen lauten 208.67.222.222 und 208.67.220.220. Wer zuhause seinen Router auf die alternativen OpenDNS-Server konfiguriert, hat den Vorteil, dass sämtliche anderen Geräte, die über diesen Router Verbindung ins Internet herstellen, in der Regel ebenfalls geschützt sind.

Die Nutzung von OpenDNS bietet nicht nur in Sachen Flashback Vorteile: Mit PhishTank unterhält der Anbieter eine der größten Anti-Phishing-Datenbanken, wodurch Anwender von OpenDNS vor Phishing-Gefahren besser geschützt sind als Nutzer von DNS-Servern des Internet Service Providers, die standardmäßig voreingestellt sind und nicht über derartige Schutzmechanismen verfügen. Zudem bietet OpenDNS Schutz vor dem Botnetz Conficker und zahlreichen Schwachstellen des Internet Explorers und ist damit auch für Windows-Anwender interessant.

Der Domain Name Service (DNS) ist einer wichtigsten Dienste im Internet. Er ordnet Rechnernamen einer entsprechenden IP-Nummer zu. Wer beispielsweise eine Internetadresse wie www.zdnet.de eingibt, wird mit dem Server nur verbunden, wenn der DNS-Server die IP-Adresse der Website (62.108.136.80) kennt. Ist diese nicht bekannt oder gesperrt, kommt keine Verbindung zustande.

Antiviren-Programm installieren

Angesichts der Bedrohung durch den Flashback-Trojaners sollten Mac-Anwender darüber nachdenken, ob sie nicht für einen verbesserten Schutz eine Antiviren-Lösung installieren. Hierbei muss man unterscheiden zwischen On-Demand-Scannern, die also nur auf Bedarf hin das System überprüfen oder proaktiven Lösungen, die sich tief im System einnisten und realtime Prozesse überwachen. Für erstere spricht, dass diese Lösungen das System nicht stark belasten, da sie nur dann aktiv werden, wenn sie vom Nutzer manuell gestartet werden oder zu einem festgelegten Zeitpunkt ihren Dienst verrichten. Solche Lösungen sind im Mac App Store teilweise kostenlos erhältlich. Einige Beispiele sind ClamXav, Avira und Bitdefender.

Programme, die eine kontinuierliche Überwachung und damit einen höheren Schutz als On-Demand-Lösungen bieten, sind im Mac App Store nicht verfügbar. Apple hat die Aufnahme von Anwendungen in den Online-Store stark reglementiert. Anwendungen müssen seit März 2012 Sandboxing unterstützen. Das erhöht zwar die Sicherheit, schränkt aber Programme in Sachen Zugriff und Funktion stark ein. Antiviren-Lösungen, die ein System überwachen sollen, benötigen mehr Zugriffsrechte als sie für Anwendungen für den Mac App Store vorgesehen sind. Daher sind solche Anwendungen nur von den Herstellern direkt erhältlich. Als kostenlose Open-Source-Variante steht ClamXav zur Verfügung. Das Tool ist mit vermindertem Funktionsumfang auch im Mac App Store erhältlich.

Kleine Randnotiz: Der Flashback-Trojaner wird übrigens nicht aktiv, wenn er auf dem Mac eine der folgenden Anwendungen entdeckt:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

Schutzmechnismen von Mac OS überprüfen

Seit dem Auftauchen der Scareware MacDefender hat Apple einen Schutzmechanismus in Mac OS X namens File Quarantine respektive XProtect integriert. Sobald eine Datei aus dem Internet auf dem Mac landet, überprüft XProtect anhand einer Liste, ob sie zu bekannten Malware-Programmen gehört. Ob dieser Schutz aktiv ist, lässt sich anhand der Systemeinstellung Sicherheit – Allgemein überprüfen. Dort sollte die Option „Automatische Liste mit sicheren Downloads aktivieren“ aktiv sein. Um sich diese Liste anzeigen zu lassen, muss man im Verzeichnis System – Library – CoreServices auf auf CoreTypes.bundle mit der rechten Maustaste klicken und anschließend „Paketinhalt zeigen“ anwählen. In der Datei XProtect.plist befindet sich die Liste mit Malware-Programmen. Im Juni 2011 enthielt diese Liste neun Einträge, jetzt sind es 17. Allein drei Varianten des Flashback-Trojaners sind dort aufgeführt.

Schutz vor betrügerischen Websites

Neben der Gefahr durch Trojaner und Viren stellen betrügerische Websites, die Anwendern Abos und andere „nützliche“ Dinge andrehen wollen, eine Gefahrenquelle für den eigenen Geldbeutel dar. Mit dem Browser-Plug-in WOT (World of Trust) kann man sich gegen diese Gefahr schützen. WOT gibt es für alle populären Browser.

Fazit

Dank der zunehmenden Popularität werden Macs für Cyberkriminelle immer attraktiver. Mit geeigneten Tools und Einstellungen kann der Schutz jedoch erhöht werden. Aber auch Apple muss besser werden: Wäre das von Oracle Mitte Februar vorgestellte Java-Update schneller für Mac OS bereitgestellt worden, hätten viele Infizierungen verhindert werden können. Wenn Anwender allerdings die Installation von Schadsoftware durch die Eingabe des Admin-Passworts erlauben, wodurch die ersten Varianten des Flashback-Trojaners verbreitet wurden, helfen auch die besten Sicherheitsstrategien nicht weiter.

Weiterführende Links zu diesem Artikel:

• Kaspersky Flash Fake Removal Tool 1.0
• Java für OS X 10.7 Lion 2012-001
• Java für Mac OS X 10.6-Update 8
• ClamXav für Mac OS X 2.2.4
• Bitdefender Virus Scanner für Mac OS 2.16
• Web of Trust (WOT) für Safari
• Web of Trust (WOT) für Chrome
• Web of Trust (WOT) für Firefox

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.