Hallo zusammen,

ich habe hier im Forum bereits einen Thread gepostet, in welchem es darum ging, dass der Windows PC meiner Eltern mit dem ZeroAccess Rookit infiziert wurde. Ich kann leider nicht gänzlich ausschließen, dass von besagtem Windows PC über ext. Speichermedien bzw. via Netzwerk Malware auf mein Macbook Pro (OS X Lion) überging.

Mich beschäftigen derzeit folgende Fragen:

Bzgl. OS X

1) Wie stelle ich generell sicher, dass mein Macbook Pro Malware (u.a. Rootkits) frei ist?
2) Gab es schon einmal den Fall, dass ein Windows Rechner durch die Installation von Little Snitch auf einem MAC mit Malware infiziert wurde? (Ich muss diesen Zusammenhang ausschließen, da es zeitliche Parallelen gab zwischen der Installation auf meinem Macbook und der Meldung der AntiVirus Software auf dem Windows System.)
3) Am Tag nach dem Trojaner/Rootkit Fund wollte ich mein Macbook Pro hochfahren. Erst nach dem dritten Mal Betätigen des An- und Ausschalters fuhr er hoch. Vielleicht habe ich zu schwach gedrückt. Dennoch die Frage: Kann das Ganze mit einem Rootkit im Zusammenhang stehen oder ist da evtl. das Programm Little Snitch schuldig, welches u.a. die Boot Caches in OS X abändert?

Bzgl. Linux

4) Demnächst werden meine Eltern ein System mit Linux (wahrscheinlich Xubuntu) benutzen. Darauf will ich die Daten vom infizierten Windows PC sichern. Der Vorgang der Datensicherung mit einem Linux Live-System ist mir bewusst. Es stellen sich allerdings diese Fragen:
Gibt es für Linux verlässliche Anti-Malwareprogramme, mit denen ich meine Daten nach dem Übertragen überprüfen kann? Wie kann ich sicherstellen, dass das Linux System Malware, v.a. aber Rootkit frei ist?

So, ich hoffe, dass sich der ein oder andere findet, der mir weiterhelfen kann. Ich freue mich über jede Antwort, die mich in der Sache weiterbringt.



Falls weitere Info notwendig sein sollte, hier nochmal der Link zum erwähnten Thread:
hxxp://www.trojaner-board.de/124043-zeroaccess-rootkit-win-xp-pc-rechner-befallen-komplette-neuinstallation-geplant.html

Ich habe kein Mac-Gerät, aber ich glaube wenn ich eines hätte würde ich darauf wohl die ganz normalen Sicherheitsmaßnahmen anwenden (Updates, Antivirenwächter) die auch bei Windows angemessen sind.

Grund: Mac hat mit ca. 15 % eine recht hohe Verbreitung, und dadurch dass Mac User in der Regel gut betucht sind sind diese 15 % für die Gangster ganz interessant.

Anders sieht es bei Linux aus: Linux hat auf dem Desktop einen Anteil von ca. 1 %, viele Anwender sind IT Profis (schwerer zu infizieren) Studenten (kein Geld) oder IT Hobbyisten (etwas schwerer zu infizieren als normale Windows Benutzer) so dass es sich angesichts der geringen Verbreitung einfach nicht lohnt Viren für Linux zu schreiben.

Linux ist also nach Stand der Dinge virenfrei.


Theoretisch könnte man versuchen mit Java / Javascript ein Stück Schadsoftware zu schreiben das sowohl Windows als auch Linux und Mac infizieren kann, bekannt ist mir keines.

Rein theoretisch könnte ein infizierter Windows PC feststellen dass ein Mac im Netz ist, ein Stück Software nachladen und versuchen den Mac per "Wurm" zu infizieren. Bekannt ist mir dazu aber auch kein Fall.


Dein Szenario ist also ziemlich unwahrscheinlich.


AV Scanner unter Linux (um z.B. die USB Datensicherungsplatte deines befallenen Windows PCs zu scannen): viele namhafte AV Hersteller bieten auch unter Linux Scanner an.

Da Linux selbst nicht befallen wird habe ich meinen Scanner nicht als Hintergrundwächter installiert.

Kostenlos gibt es: Avira und AVG, den ClamAV empfehle ich nicht da die Erkennungsrate geringer gibt.

Als Bezahlversionen gibt es dann noch Kaspersky und Bitdefender... eventuell noch weitere.

An deiner Stelle würde ich einfach die 3,90 Euro lockermachen und die Platte mit der Disinfec't scannern lassen:
heise-shop - c't 9/2012

Da hast du Avira, Kaspersky und Bitdefender gleich drauf, die Updates gelten aber nur noch bis ca. April 2013. Trotzdem hast du für das Geld nicht viel verloren.

Zitat:

Zitat von W_Dackel

Grund: Mac hat mit ca. 15 % eine recht hohe Verbreitung,

Woher hast du nur immer deine falschen Zahlen.
Kleiner Hinweis: Der (vorgebliche) Anteil an den verkauften Geräten eines Monats in einem Land der Erde spiegelt absolut nicht den für diese Betrachtung richtigen Marktanteil des Bestands der (benutzen !) Computer in der (vor allem ersten) Welt.

Zitat:

Zitat von W_Dackel

und dadurch dass Mac User in der Regel gut betucht sind sind diese 15 % für die Gangster ganz interessant.

ach, das interessiert die Bösewichter gar nicht mal so, die Nutzer müssen naiv genug sein ~ 50 Euro zu überweisen oder Guthaben/Dispo von ein -zwei Tausend Euro haben.
Große Kontobewegungen fallen immer auf, selbst (der Software der) Banken. , also lieber xxxxxx-mal wenig Geld erfolgreich, als einmal viel Geld und es ist gescheitert oder zumindest aufgefallen.

Zitat:

Zitat von m'tias

1) Wie stelle ich generell sicher, dass mein Macbook Pro Malware (u.a. Rootkits) frei ist?

So wie bei jedem Computer: eigentlich gar nicht (sicher) bzw. durch saubere Neuinstallation. Mit großem Aufwand, guten Tools und/oder viel Wissen kann man natürlich viel analysieren und bekannte und verbreitete Rootkits (für Windows) finden, aber für den Mac ist mir jetzt nichts entsprechendes bekannt.
Du kannst aber per Software suchen, ob die was findet, kein Fund bedeutet aber nicht, dass nichts da ist.
Du kannst auch für den Mac kostenpflichtige oder kostenfreie AV-Software einsetzen.
Kostenfrei:
http://www.avira.com/de/avira-free-mac-security
http://www.sophos.com/en-us/products...e-edition.aspx

Kostenpflichtig:
http://de.norton.com/macintosh-antivirus/
http://itunes.apple.com/app/id450442327?ls=1&mt=12
http://www.kaspersky.com/de/security-mac

Die Wahrscheinlichkeit, dass ein Mac unbemerkt (ohne dein Zutun) via LAN von einem Windows-PC aus infiziert wird, dürfte gegen Null gehen.
Selbst wenn das A&O jeder Installation, die ständige Aktualisierung des Betriebssystems und wichtiger Komponenten sträflich vernachlässigt wurde.

Sorry, hatte ich falsch im Kopf, der Mac Anteil ist ja viel niedriger:

WebHits - Web-Barometer: Marktanteile und Marktentwicklung



Operating system market share

Der Linux Anteil bei den Desktops ist aber im Bereich 1 % (ohne Android als "Linux" zu zählen)

Danke für die bisherigen Antworten.

@W_Dackel: Danke für den Tipp mit der CD. Die sollte sich wirklich lohnen.

@shadow: So wie ich das jetzt verstanden habe, wäre es nicht verkehrt, das Macbook neu aufzusetzen.
Wie wäre dabei das genaue Vorgehen? Ich sehe es ungefähr so:
Das Neuschreiben des MBRs fällt unter OS X ja flach, d.h. im Prinzip sichere ich zuerst meine Daten mit einem Linux Live System, danach formatiere ich die Festplatte(n) und installiere OS X neu. Anschließend übertrage ich die vorher auf Malware überprüften Daten auf das frisch installierte System.
Ach ja, in meinem Macbook sind zwei SSD Festplatten verbaut. Beides sind Sandforce Modelle. Allerdings nur bei der System Platte ist TRIM aktiviert. Ich kann die SSD Platten unter OS X Lion nur schnell Formatieren. Die anderen Optionen sind ausgegraut. Ist bei den SSD Festplatten das "schnelle" Formatieren ausreichend?

Noch eine Sache:
Ich musste für meine Schwester heute Audio CDs brennen. Darauf sind Dateien, die ich zuvor mit dem YoutubeDownloader auf der Festplatte gesichert und danach mit iTunes konvertiert und gebrannt habe. Nach dem Brennen habe ich stichprobenartig die CDs sowie den Download Ordner auf Malware überprüft. Dabei zeigte sich kein Befund. Es ist trotzdem möglich, dass die CDs mit Malware bzw. mit einem Rootkit infiziert wurden, oder?

Zitat:

Nach dem Brennen habe ich stichprobenartig die CDs sowie den Download Ordner auf Malware überprüft. Dabei zeigte sich kein Befund.

Was soll das denn bringen, wie soll in Musik denn Malware sein? Ein Audiostream ist kein Progamm, was ist deiner Meinung nach denn ein Schädling?

Zitat:

Es ist trotzdem möglich, dass die CDs mit Malware bzw. mit einem Rootkit infiziert wurden, oder?

Das dürfte noch viel unwahrscheinlicher als ein infizierter Mac sein wie Shadow es erwähnt hatte.

Zitat:

Zitat von m'tias

So wie ich das jetzt verstanden habe, wäre es nicht verkehrt, das Macbook neu aufzusetzen.

Was ist schon verkehrt?
Ich halte es eigentlich für unnötig, aber wenn du dich sicherer fühlst oder unbedarfte Nutzer das System versaut haben, dann ...
Ja, der Boom bei/zu Macs hat erstaunliches geleistet.

Zitat:

Zitat von m'tias

im Prinzip sichere ich zuerst meine Daten mit einem Linux Live System,

Wie du die Daten sicherst ist ziemlich egal., im Falle einer Infektion ist es aber immer gut, die Daten zu sichern, in dem man mit einem sicher sauberen System startet, ob dies jetzt ein Windows-, Mac- oder Linux-System ist, ist relative egal, solange du sicherlich nur Daten kopierst oder verschiebst und nichts ausführst.

Zitat:

Zitat von m'tias

Ich kann die SSD Platten unter OS X Lion nur schnell Formatieren. Die anderen Optionen sind ausgegraut. Ist bei den SSD Festplatten das "schnelle" Formatieren ausreichend?

Schnellformatieren ist immer ausreichend, außer du willst damit auch noch eine indirekte Festplattenfehlerüberprüfung machen. Bei SSDs fällt dies aufgrund der Elektronik aber ziemlich flach.

Noch eine Sache:
Ich habe mir die Desinfec't 2012 DVD besorgt. Da ich diese an meinem Macbook nicht von Haus aus benutzen konnte, habe ich mir damit (mit der Linux Live System auf der Desinfec't DVD) am infizierten Rechner einen bootfähigen USB Stick erstellt.
Nachdem der Stick erstellt war, schloss ich ihn an das Macbook an und versuchte von diesem zu booten. Während des Startups drückte ich, soweit ich mich erinnere, die Taste C, möglicherweise versuchte ich danach auch command oder alt/option. Ich weiss es leider nicht mehr zu 100%.
Jedenfalls passierte danach einfach "nichts". Ich sah für eine längere Zeit als sonst diesen weißen "Startup Screen". Natürlich kann ich nicht sagen, was im Hintergrund ablief. Anschließend erschien dann wieder der übliche Anmeldebildschirm. Nun zu meinen Fragen:

1) Gibt es für OS X eine gesonderte Vorgehensweise, um bootfähige Medien zu erstellen?
2) Ist es möglich, dass ich durch den USB Stick unbeabsichtigt Malware eingeschleust habe und im schlimmsten Fall auch Boot Partition oder das EFI betroffen sind?

Ein Mac-Notebook auch auf Intelbasis ist trotzdem kein Wintel-Notebook.

Hast du mal auf einem "normalen" System ausprobiert, ob der Stick überhaupt tatsächlich bootfähig ist?
Du magst eventuell mal dort Apple Computer ein paar Sachen dir anlesen und diese Passagen für deine Problematik nutzen und zumindest theoretisch umsetzen. Ich selber habe so etwas auch noch nicht umgesetzt, wozu auch.

Crossposting ist übrigens unerwünscht, deshalb mein Tipp, bleibe mit der Bootproblematik auf dem Macforum, auch bei deinen echten und imaginären Malwareproblemen solltest du dich auf ein Forum reduzieren. Helfer in mehreren Foren mehrmals das gleiche durchkauen lassen ist nicht erwünscht.

Danke Shadow. Ich weiss, dass Crossposting unerwünscht und jegliche Rechtfertigung fehl am Platz ist. Trotzdem möchte ich sagen, dass ich einfach mehr als nur eine Meinung zu meinem Problem einholen wollte und deshalb noch außerhalb dieses Forums schrieb. Ich bitte, mir das Crossposting nachzusehen.

Es mag sein, dass die ganze Sache an Paranoia grenzt. Nur haben solche Forenbeiträge wie hier (https://discussions.apple.com/thread/2739586?start=0&tstart=0) erheblich zu meiner Verunsicherung beigetragen. Darüber hinaus kann wohl keiner eindeutig sagen, ob ich ein Rootkit auf meinem Macbook habe oder nicht...

Sobald ich also mein Macbook neu aufgesetzt habe, d.h. wenn die Festplatte formatiert und OS X Lion neu installiert ist, werde ich von nun an ein Programm wie ClamXav oder Sophos Anti-Virus benutzen. Einfach deshalb, weil ich mich dadurch sicherer fühle.

In Anlehnung an den aufgeführten Link:
Wenn tatsächlich ein Rootkit auf meinem Macbook wäre, reichte dann eine Schnellformatierung der SSD (überhaupt) aus?

Zitat:

Einfach deshalb, weil ich mich dadurch sicherer fühle.

Das klingt vernünftig....... es bringt zwar wenig bis garnix, aber Hauptsache man fühlt sich sicher ...

Zitat:

Wenn tatsächlich ein Rootkit auf meinem Macbook wäre, reichte dann eine Schnellformatierung der SSD (überhaupt) aus?

Wo steht eigentlich immer dieser Unsinn, man müsse eine Platte besonders löschen nur weil man Schädlinge entfernen will?

Es reicht dicke alle Partitionen zu löschen bzw. den MBR zu Nullen! Lösch den ersten Sektor der Platte, das löscht auch die Partitionstablle - mehr wird nicht benötigt!

Um den Thread abzuschließen, möchte ich mich für eure Hilfe bedanken. Das Thema hat sich damit für mich erledigt.