OS X-Benutzer mögen sich über Windows-Benutzer als lustig machenDie einzigen, die ein Malware-Problem haben. Aber das stimmt einfach nicht mehr und das Problem hat in den letzten Monaten dramatisch zugenommen. Machen Sie mit, wenn wir die wahren Umstände des Geschehens aufdecken, und warnen Sie die Menschen hoffentlich vor dem bevorstehenden Untergang.
Da ist eigentlich Unix unter der Haube, OS Xhat einen gewissen nativen Schutz gegen die schlimmsten Arten von Viren. Heutzutage besteht das Problem jedoch nicht darin, dass Viren Ihren Computer vollständig beschädigen, sondern dass Spyware, Crapware und Adware auf Ihren Computer gelangen, Ihren Browser hijacken, Anzeigen einfügen und verfolgen, was Sie suchen. Und vieles davon ist legal, weil Sie während eines Installationsvorgangs dazu verleitet werden, auf das falsche Element zu klicken.
VERBUNDEN: Download.com und andere bündeln HTTPS Breaking Adware im Superfish-Stil
Und jetzt herunterladen Websites, gefälschte Anzeigen für Software aufSuchmaschinen und skizzenhafte Anwendungen bündeln Adware und Crapware zu Installationsprogrammen für legitime Software. Sie können nicht einfach davon ausgehen, dass Sie nicht mehr sicher sind, da Sie sich unter OS X befinden. Sie müssen vorsichtig sein, was Sie herunterladen und auf was Sie klicken.
Wenn Sie nicht der Meinung sind, dass dies eine große Sache ist, denken Sie nachnochmal. Diese Adware-Elemente fügen sich direkt in den Browser ein und werden selbst auf sicheren Sites wie Ihrer Bank, Ihrer Kreditkarten-Site und Ihrer E-Mail analysiert und ausgeführt, um Daten an ihre Server zurückzusenden. Sie verwenden noch keinen HTTPS-Hijacking-Proxy, was wir während unserer Nachforschungen feststellen konnten, aber es ist nur eine Frage der Zeit. Möglicherweise tun sie dies bereits und wir haben den Beweis noch nicht gefunden.
Da wir hier in erster Linie selbst Mac-User sindWir bei How-To Geek hoffen sehr, dass Apple bei diesem Problem eine andere Taktik anwendet als Microsoft bei Windows und es diesen Betrügern nicht erlaubt, ihre Plattform zu zerstören.
Mitgelieferte Crapware für OS X wird von Tag zu Tag schlimmer
Es ist noch nicht lange her, dass Sie installieren konntenFast alles für OS X von fast jeder Website, und Sie mussten sich keine Gedanken darüber machen, worauf Sie geklickt haben. Das stimmt einfach nicht mehr und obwohl die Dinge besser sind als unter Windows, ist es jetzt nur noch eine Frage der Zeit.
VERBUNDEN: Folgendes passiert, wenn Sie die Top 10 der Download.com-Apps installieren:
Sie haben immer noch eine sichere Quelle für Software mitDas Problem ist jedoch, dass nicht alle Anbieter ihre Software über den App Store verkaufen. Viele von ihnen verkaufen dort ältere Versionen und haben die neueste Version auf ihrer eigenen Website. Wenn Sie sich an den App Store halten, brauchen Sie sich keine Sorgen zu machen. Wir freuen uns, wenn Apple einige der Probleme im App Store behebt und alle dazu bringt, sie zu nutzen.
Genau wie unter Windows müssen Sie keine suchenWeiter als CNET-Downloads, um gebündelte Crapware zu finden… sogar für Mac. Das ist richtig, sie sind plattformübergreifend mit diesem Unsinn umgegangen. Und sie haben es noch schlimmer gemacht, weil Sie entweder eine Schaltfläche "Installieren" oder eine Schaltfläche "Schließen" haben. Es gibt nicht einmal mehr einen Rückgang! Wenn Sie auf Schließen klicken, wird das Installationsprogramm vollständig heruntergefahren. Entweder haben Sie Crapware gebündelt, die Ihren Browser hijackt, oder Sie müssen diese App nicht installieren.
Der im Screenshot installiert Spigot und aEin Haufen anderer Unsinns, der Ihren Browser zu Yahoo umleitet, eine Menge unerwünschter Plugins installiert und das fliegende Spaghetti-Monster im Allgemeinen zum Weinen bringt. Es ist erstaunlich, wie viel Geld Yahoo in diese Dinge stecken muss, um Ihren Browser für die Suchmaschine zu hijacken. Yahoo Search ist wirklich nur eine umbenannte Version von Bing. Naja.
Oh mein! Auf dem nächsten Bildschirm können Sie mit dem Installationsprogramm endlich wieder etwas ablehnen! Vielleicht ist die Sache auf dem Screenshot so schlecht, dass CNET Downloads sie Ihnen nicht aufzwingen möchte. Kein gutes Zeichen.
Natürlich macht nicht nur CNET Downloads dasBündelung - Wir haben festgestellt, dass eine Reihe anderer Apps auf Freeware-Download-Sites verteilt werden, die ihre eigenen Bündelungen vornehmen. Beispielsweise verfügt YTD, das HTTPS-Hijacking-Adware für Windows lädt, über eine Mac-Version. Und sie bündeln auch Zapfen. Willst du etwas torrent? Warum lädst du uTorrent nicht von ihrer Website herunter? Scheint, als würden die Leute das gerne benutzen. Oh.
Das Problem wird immer schlimmer, wenn Sie es versuchensuche nach freeware mit deiner lieblingssuchmaschine. Es ist erwähnenswert, dass Google erst vor kurzem versucht hat, gebündelte Crapware aus seinen Ergebnissen und Anzeigen zu verbannen, aber leider haben Yahoo und Bing nicht das gleiche Maß an Ehrfurcht. Tatsächlich sind sie einfach schrecklich.
Wenn Sie ein durchschnittlicher, normaler Benutzer sind und SieDurchsuchen Sie Yahoo nach "vlc download", und Sie werden mit etwas konfrontiert, das aussieht wie der nächste Screenshot. Und jedes einzelne Element auf der Seite ist tatsächlich ein Link zu einem Crapware-Installationspaket für VLC. Fast alle sind plattformübergreifend und funktionieren unter OS X. Der Text mit der Aufschrift „Anzeige“ ist nahezu unsichtbar.
Wenn ein ahnungsloser Benutzer versucht, einen von zu verwendenBei diesen Installationsprogrammen wird ein Bildschirm angezeigt, der dem folgenden ähnelt. Er installiert den InstallMac, der alles überfällt und Adware in Ihr System einbindet - es ist schrecklich. Und natürlich werden Sie im nächsten Bildschirm aufgefordert, etwas anderes zu installieren, das Sie nicht benötigen. Und dann noch etwas. Es ist so viel Crapware.
Wir haben viel mehr Software gefundenAuf diese Weise bedient, mit einer Tonne Installateure von fast jedem gebündelten Crapware-Installateur. Hier ist ein Installations-Wrapper für OpenOffice, der mit einer wirklich miesen Adware gebündelt ist, die nur Ihren Browser übernimmt. Ja, wir haben Yahoo erneut nach OpenOffice durchsucht und auf die Website geklickt, die wir eigentlich für die eigentliche Website gehalten haben, da der Anzeigentext so klein war, dass wir keinen Unterschied feststellen konnten. Und genau das ist aufgetaucht.
Es ist im Begriff, eine Epidemie für Mac-Benutzer zu werden. Worauf müssen wir uns also freuen?
Adware und Malware unter OS X ist fast so schrecklich wie unter Windows
Wenn Sie es schaffen, infiziert zu werdenDie meisten Adware-, Malware- und Spyware-Programme unter OS X versuchen, Ihren Browser irgendwie zu infizieren, indem sie Ihren neuen Tab, Ihre Such- und Startseiten missbrauchen, Anzeigen in Seiten einfügen und unangenehme Warnungen des technischen Supports zufällig anzeigen. Das meiste davon wird nicht Ihre Festplatte oder etwas wirklich Schreckliches löschen. Aufgrund der zunehmenden Raffinesse, die wir sehen, ist es nur eine Frage der Zeit.
Viele dieser Browser-Hijacker schalten AnzeigenDas Popup-Nachrichten, die nicht entlassen werden können, egal was Sie tun, wie Sie im Screenshot oben sehen können. Sie werden während des Surfens nach dem Zufallsprinzip angezeigt, und Sie müssen CMD + Q verwenden, um die App vollständig zu schließen und sie loszuwerden. Im Wesentlichen wird Ihr Browser völlig unbrauchbar.
Die einfachste Adware installiert sich automatisch in IhremBrowser als Erweiterung, und setzen Sie alle Ihre Seiten zurück, um durch ihre schreckliche, schreckliche Suchmaschine zu gehen. Und damit meinen wir meistens Yahoo ... aber es gibt eine Menge anderer wie Searchmoose, Search-Quick und Searchbenny, die ihre eigenen gefälschten Suchmaschinen verwenden. Einige von ihnen leiten Sie zu Bing weiter, jedoch niemals direkt. Es geschieht immer über einen Vermittler wie Trovi.
Die meisten Anzeigen, die injiziert werden, versuchen esSie dazu verleiten, noch mehr Anzeigen zu installieren, indem Sie gefälschte Java-Plug-in-Nachrichten oder Nachrichten verwenden, in denen Sie aufgefordert werden, einen Codec oder eine neue Flash-Version zu installieren. All dies ist natürlich eine Fälschung und installiert einfach noch mehr Crapware und Malware auf Ihrem Computer. Hin und wieder versucht einer von ihnen, eine Windows-Adware bereitzustellen. Meistens sind sie jedoch so schlau, dass sie erkennen, dass Sie ein Mac-Benutzer sind, und die entsprechende Crapware bereitstellen.
Ein Großteil der Adware leitet Ihre Suchmaschine zu einer gefälschten Suchmaschine weiter, die Google oder Bing ähnelt, aber alle Ergebnisse sind nur Anzeigen.
Und dann wird es zufällig anfangen, mit dir zu reden. Buchstäblich. Es werden Audio-Anzeigen über Ihre Lautsprecher abgespielt. Wir haben eine Anzeige für Northrup Grumman gehört. Wie verrückt ist das denn? (Wir sind uns ziemlich sicher, dass sie nichts davon wissen.)
Wir haben gerade einige der nervigen Adware vorgeführt,Aber ein Großteil der mitgelieferten Crapware ist auch ziemlich mies, und fast jeder einzelne Crapware-Bundler, den wir gefunden haben, und fast jede einzelne Adware-Anzeige haben versucht, uns dazu zu bringen, MacKeeper zu installieren. Wir wissen nicht viel darüber, obwohl wir uns überlegen, wie es funktioniert, da diese Taktik fragwürdig ist.
Der größte Trend, den wir bei Adware bemerkt haben, ist, dass fast alles versucht, Ihren Browser und Ihre Suchmaschine auf Yahoo umzuleiten. Jemand bei Yahoo muss gefeuert werden.
Tiefer graben: Wie ein Teil dieser Malware tatsächlich funktioniert
Die einfache Adware funktioniert so wie die meisten Adwares.indem Sie sich selbst in die Safari-Erweiterungen installieren, die sich ganz einfach deinstallieren lassen. Das Problem ist, dass in unserer Forschung nur wenige Adware-Teile auf diese Weise funktionierten.
Alle Suchmaschinen-Hijacking, HomepageDas Umleiten und das Injizieren von Werbung durch Erweiterungen ist eine Sache. Das größere Problem ist die schwerwiegende Malware, die sich tief in das Betriebssystem einfügt und die von einer durchschnittlichen Person niemals entfernt werden kann. Es gibt kein Deinstallationsprogramm, kein Startup-Element, keine Plug-ins in Ihrem Browser, keine Erweiterungen oder sonstige Elemente, die anscheinend installiert sind.
Was es jedoch gibt, sind wirklich schreckliche Anzeigenwird in alles, was Sie tun, injiziert und macht Ihren Computer langsamer als Schmutz. Ihre Suchmaschine wird entführt und Ihr Browser wird möglicherweise über einen Proxy weitergeleitet. Dies ist reine Malware. Es handelt sich nicht mehr nur um Adware, auch wenn Sie versehentlich vergessen haben, irgendwo ein Kontrollkästchen zu deaktivieren. Dies funktioniert genauso wie die Trovi-Malware unter Windows, indem sie sich selbst in Prozesse einfügt.
Diese schwerwiegenderen Malware-Teile werden installiertsich selbst als Daemon oder Dienst, der im Hintergrund und hinter den Kulissen ausgeführt wird. Sie finden diese Dinge im Ordner "/ Library / LaunchAgents" oder "/ Library / LaunchDaemons", der einige wirklich seltsam aussehende Elemente enthält, die einfach nicht dazu gehören. Dieser Ordner kann auch für echte Dinge aus echten Anwendungen verwendet werden. Bereinigen Sie diesen Ordner also nicht ganz oder gar nicht.
Eine Untersuchung der plist-Datei zeigt Ihnen, wo sich die eigentliche Malware befindet, die sich normalerweise in einem völlig separaten Ordner befindet.
Wenn Sie in diesen Ordner gehen und dieIn der Datei "Version.plist" erhalten Sie weitere Informationen zu den aktuellen Vorgängen. Dieses Ding heißt Search-Quick und unterstützt aus irgendeinem Grund das Hijacken von Chrome und Safari sowie das nächtliche Webkit-Build.
Weitere Untersuchungen haben etwas Merkwürdiges ergeben… Die Person, die diese Malware geschrieben hat, wollte sich besonders bei ihrer Mutter bedanken.
Sobald die Malware von OS X als Daemon gestartet wurde,In OS X wird dann eine wenig bekannte Funktionalität verwendet, mit der sich ein Prozess in einen anderen Prozess einfügen kann. Sie können sehen, wie es funktioniert, indem Sie ein Terminal öffnen und die ausführbare Agent-Datei direkt ausführen. Tatsächlich hängt es sich an Ihren Webbrowser an und lädt sich selbst als versteckte Erweiterung. In der Abbildung unten sehen Sie, dass es für die Prozess-ID 544 aktiviert wurde, bei der es sich um Google Chrome handelte. Dies gilt auch für Safari, wenn es geöffnet ist.
Dies bedeutet, dass Adware oder Malware ausgeführt wird Innerhalb Ihres Webbrowsers, der sich in jeden einfügtSeite, die Sie besuchen. Es spielt keine Rolle, ob Sie eine sichere Bank-Site besuchen oder nicht, sie befinden sich bereits in der Site. Eine der Nebenwirkungen dieser Malware ist, dass Ihr gesamter Computer immer extrem langsam ist, unabhängig davon, was Sie gerade tun.
Hier finden Sie einige Tipps zum Entfernen von Adware und Malware inUnter OS X können Sie das Apple Support-Dokument lesen oder einfach auf die nächsten Artikel zu diesem Thema warten. Wir werden all diese Dinge noch viel genauer untersuchen.
Was bedeutet das alles und wie schützen Sie sich?
Obwohl wir gezeigt haben, dass Malware, Adware,Crapware und Spyware werden unter OS X immer schlimmer. Das bedeutet nicht, dass Sie sich unbedingt Sorgen machen oder Linux installieren oder drastische Maßnahmen ergreifen müssen. OS X wird immer noch nicht so häufig als Ziel verwendet wie Windows, und es gibt immer noch einige Sicherheitsmaßnahmen, die es Malware erschweren, sich durchzusetzen.
Das Sicherste, was Sie tun können, ist der MacApp Store, um Ihre Anwendungen zu installieren, wann immer dies möglich ist. Diese Anwendungen wurden von Apple überprüft und sollten in Ordnung sein. Sie werden definitiv nicht mit Crapware- oder Adware-Paketen geliefert.
Apps einschränken, die nicht aus dem App Store stammen
Dies wird das Problem nicht vollständig beheben, aber Sie könnenKonfigurieren Sie OS X so, dass alle ausführbaren Dateien, die nicht aus dem App Store stammen, automatisch eingeschränkt werden. Dies gilt nicht für Anwendungen, die bereits auf Ihrem Computer installiert sind, unabhängig davon, woher sie stammen. Es gilt einfach für neue Downloads.
Gehen Sie zu Systemeinstellungen -> Sicherheit und Datenschutz, klicken Sie unten auf das Schlosssymbol und drehen Sie die Einstellung statt auf die Standardeinstellung auf Mac App Store.
Sobald Sie dies tun, versuchen Sie, etwas das auszuführenWenn Sie nicht im App Store sind, wird automatisch eine Sperrnachricht angezeigt. Sie können festlegen, dass es weiterhin geöffnet bleibt, wenn Sie mit der rechten Maustaste klicken und "Öffnen" auswählen und dann erneut "Öffnen" auswählen. Standardmäßig ist jedoch alles blockiert.
Hiermit wird das Problem der von Ihnen gestellten Anwendungen nicht gelöst machen Sie möchten Crapware installieren, die standardmäßig deaktiviert werden muss. Aber es ist eine großartige Sicherheitseinstellung für Ihre Verwandten.
Wenn Sie eine Anwendung von einem anderen Ort aus installieren müssen, stellen Sie sicher, dass es sich wirklich um eine vertrauenswürdige Quelle handelt und nicht um eine gefälschte Site, die Open Source-Freeware mit einem Bundleware-Wrapper anbietet.
VERBUNDEN: Oracle kann das Java-Plug-in nicht sichern. Warum ist es also weiterhin standardmäßig aktiviert?
Sie sollten auch in Betracht ziehen, Ihren Browser zu deaktivierenPlugins - für Chrome und Firefox ist das ziemlich einfach, für Safari ist es etwas komplizierter. Das Beste, was Sie tun können, ist, Ihr Java-Plug-in zu deaktivieren, da dies nur selten erforderlich ist und Java 2013 für 91% der Angriffe verantwortlich war. Dadurch wird die Wahrscheinlichkeit verringert, dass Sie mit einem Zero-Day-Angriff angegriffen werden.
Es könnte sogar an der Zeit sein, über eineAntivirus für OS X, zumindest wenn Sie eine Menge Software von Quellen außerhalb des App Store installieren möchten. Wenn Sie dies nicht tun, ist es wahrscheinlich nicht ganz so schlimm, aber wir nähern uns dem Punkt, an dem es benötigt wird. Was wir uns noch nicht sicher sind, ist, welches Antivirus für Mac sich überhaupt lohnt und diese Art von Dingen blockiert - unter Windows blockieren die meisten Antivirenprogramme keine gebündelte Crapware und Adware, da diese legal sind, da Sie während der Lizenzvereinbarung zustimmen mussten Installationsvorgang. Bezahlen Sie jetzt also nicht nur ein paar Antivirenprogramme. Denken Sie für die Zukunft daran.
Ansonsten sei einfach vorsichtig, auf was du klickstund vertraue nicht auf Fehlermeldungen, die in Ihrem Webbrowser-Fenster angezeigt werden. Wenn Sie etwas sehen, das besagt, dass Ihr Computer infiziert ist, und eine Meldung anzeigt, halten Sie die Tastenkombination CMD + Q gedrückt, um alles sofort zu schließen.
Für Windows-Benutzer gibt es keine bessere Zeit, auf den Mac zu wechseln. Mit so viel Crapware und Adware fühlen sie sich wie zu Hause! (Wir scherzen natürlich.)
