Mal ne Frage.

Trojan-Downloader.MSWord.Agent.yc ist doch bestimmt so ein schiet mit Makrovirus oder? Kann der denn überhaupt auf dem Mac was anrichten, wenn man den mit Word for MacOS öffnet oder wird da eher ein Windows als Unterbau erwartet?

Dante12 antwortete:

Zitat:

Zitat von Dante12

@Cosinus

Unwahrscheinlich das der Mac dadurch infiziert wird. Dennoch kann es nicht ausgeschlossen werden. Dei .yc extension ist eine auf YACC basierende komprimierte Datei im .doc Dokument. In über 99% der Fälle zielt es auf die Windows-Plattform. Wenn die Mail ohne das Dokument zu öffnen gelöscht wurde ist alles ok.

.yc bezieht sich aber doch auf den Namen einer Schdälingsvariante, nicht auf eine Dateiendung, oder doch?

Das ist möglich genaueres kann ich sagen wenn ich den Anhang in den Resourcen-Editor laden kann. Allerdings wird dieses Dokument beim öffnen das eingebettete VBA-Makro aufrufen das den Schädling auf den Rechner installiert. Da Kaspersky das nicht entfernen konnte, vermutete ich das es mittels yacc kompiliert und verschlüsselt wurde.

Zwei Dinge aber kann ich auf jeden Fall sagen die zu einer Nicht-Infizierung auf einen Mac führen:

1. Das MS Office läuft am Mac im Sandboxed-Modus (kein direkter Zugriff auf kritische Systemordner).
2. Ich kenne noch keine Implementierung von VBA (bis heute) die zuverlässig auf den Mac funktioniert.

Ich glaub den Erpressern sind Systemordner egal, die haben ihr Ziel ja schon erreicht, wenn die (ungesicherten) Userfiles verschlüsselt sind. Gibt es beim Mac eigentlich sowas wie Schattenkopien?

Zitat:

Zitat von cosinus

Ich glaub den Erpressern sind Systemordner egal, die haben ihr Ziel ja schon erreicht, wenn die (ungesicherten) Userfiles verschlüsselt sind. Gibt es beim Mac eigentlich sowas wie Schattenkopien?

Äh du denkst in Windows - Schritten. Dabei bist du doch ein super Linuxer!

Mac OS X (Unix) wie jedes andere Linux-System mit der Funktion Journaling das was du meist. Von jeder gemachten Änderung wird eine Kopie angelegt. Das erhöht die Ausfallsicherheit. Die Kopien werden zum ersten auf den Datenträger versteckt angelegt und zum zweiten durch das Journaling Hardwareseitig eine inode angelegt die die Metadaten jeder einzelnen Datei beinhaltet. Diese bleiben solange erhalten bis sie durch löschen UND überschreiben endgültig entfernt werden. Die INode ist eindeutig.

https://support.apple.com/de-de/HT204435

Das Journal bei Journaling-Dateisystemen hat aber doch nen anderen Zweck, nämlich die Konsistenz bei Systemabstürzen/Stromausfall sicherzustellen => https://de.wikipedia.org/wiki/Journaling-Dateisystem

Ein Journal hat doch nix mit mit Schattenkopien/VSS o.ä. zu tun.

Angenommen so ein ransom ist lauffähig unter Macoder Linux und verrichtet erfolgreich seine Arbeit, sprich hat die Dateien oder zumindest einen Teil aller Dateien verschlüsselt, dann sind das doch formell saubere Dateisystemoperationen oder nicht? Mir fällt da nur eine Sache unter Linux ein, mit dem ich so etwas ähnliches wie Schattenkopien hätte: snapshot-device in LVM, wo die Schreibzugriffe umgelenkt werden die Originaldateien aber erhalten bleiben.

BTW: ich glaub wir sollten unsere Diskussionen mal auslagern, das stört den TO wohl zu sehr sonst

Einen direkten VSS Service hat der Mac nicht. Dafür gibt es ja Time Machine. Damit wird stündlich ein lokales Snapshot des Systems und der Dateien erstellt.

Eine Wiederherstellung erfolgt dann am besten über die Wiederherstellungsumgebung. Da kann man das System Neu installieren und die User-Daten aus Time Machine wiederherstellen. Somit ist sichergestellt das alle Systemdateien ersetzt und die Daten des Users zurückgeschrieben werden.