CIRCL automatic launch object detection

Apple OS X Viren (ja es gibt sie!) mit Monitoring entgegenwirken

In jüngster Vergangenheit wird auch die bisher als immun für Schadsoftware geltende Apple Macintosh Plattform immer häufiger das Opfer von Viren und Würmern. Häufig landen die Schadprogramme beim Surfen im Internet vom Anwender unbemerkt auf dem Mac. Es wurden auch Fälle bekannt, bei denen manipulierte Flash-Installer mit einem Virus infiziert waren.

Viele Schadprogramme haben eines gemeinsam. Sie machen sich ein OS X-eigenes Feature zunutze um immer wieder, auch nach einem Neustart, auf dem System aktiviert zu werden. Es handelt sich um die LaunchObjects-Ordner, die eigentlich zur Unterstützung des Systems und der regulären Programme gedacht sind.

Scripte in diesen Ordnern werden beim Booten des Systems, respektive beim Einloggen des Benutzers automatisch ausgeführt. Schadprogramme nisten sich hier ein, und werden somit auch nach einem Neustart des Systems wieder aktiviert. Im Einzelnen gilt dies für folgende Ordner:

  • /Library/LaunchAgents
  • /Library/LaunchDaemons
  • /System/Library/LaunchAgents
  • /System/Library/LaunchDaemons
  • ~/Library/LaunchAgents
  • SystemStarter Objekte

Ein wirkungsvolles Verfahren um sich gegen Schadprogramme zu schützen ist die Überwachung dieser speziellen Ordner (Monitoring). Nur beim Installieren von regulären Programmen besteht eine hohe Wahrscheinlichkeit, dass ein neues Script in einen dieser Ordner kopiert werden muss. Werden allerdings ohne ersichtlichen Grund, und immer wieder neue Scripte in diese Ordner kopiert, so ist die Wachsamkeit des Anwenders gefragt.

Topher Kessler beschreibt in seinem Artikel „Monitoring OS X LaunchAgents folders to help prevent malware attacks“ bei CNET [1], wie bei OS X das Monitoring dieser Ordner aktiviert wird. Die Vorgehensweise ist relativ umständlich und nicht jeder kennt sich mit seinem Mac so gut aus. Deshalb hat CIRCL, das Computer Incident Response Center Luxembourg, ein Programm herausgegeben, das alle diese Einstellungen automatisch vornimmt [2].

Einfach den CIRCL-ALOD-Installer (CIRCL automatic launch object detection) herunterladen und ausführen. Der Installer aktiviert die OS X-eigenen Ordneraktionen und überwacht die kritischen Ordner mit einem eigens dafür optimierten Script.

Wird in Zukunft eine neue Datei in einen der LaunchObjects-Ordner kopiert, so bekommt der Anwender einen Warnhinweis. Er wird auf den Umstand aufmerksam gemacht und bekommt die Möglichkeit, sich die neue Datei näher anzusehen.

In der Script-Datei geben die Zeilen unter „<key>Program</key>“ Hinweise darauf, welches Programm in Zukunft automatisch gestartet werden soll. Verdächtige Scripte sind in den Papierkorb zu verfrachten und dieser ist dann zu leeren. Durch einen anschließenden Neustart werden noch aktive Prozesse beendet.

[1] http://reviews.cnet.com/8301-13727_7-57415311-263/monitor-os-x-launchagents-folders-to-help-prevent-malware-attacks/

[2] http://www.circl.lu/pub/tr-08/

Disclaimer: Die BEE SECURE Webseite bietet in einigen Fällen Verknüpfungen zu externen Webangeboten an, auf die SMILE oder der SNJ keinen Einfluss haben und daher für die Inhalte auf diesen Seiten in keiner Weise zur Verantwortung gezogen werden können.