imported>SchlurcherBot: Bot: http → https

2025-11-17T04:04:22Z

Bot: http → https

Neue Seite

'''MAC Defender''' (auch ''Mac Defender'', ''Mac Security'',<ref name="macsecurity" /> ''Mac Protector'',<ref name="macprotector" /> ''Mac Guard''<ref name="macguard" /> und ''Mac Shield''<ref name="macshield" />) war ein im Mai und Juni 2011 aktives [[Schadprogramm]] für das Betriebssystem [[Mac OS X]]. Es handelte sich um einen [[Scareware]]-[[Trojanisches Pferd (Computerprogramm)|Trojaner]], der sich nur durch Mithilfe des Nutzers verbreiten kann. Dennoch war MAC Defender das erste weit verbreitete Schadprogramm für Mac OS X.<ref>{{Internetquelle | titel=Mac users hit by first rogue antivirus app | datum=2011-05-04 | zugriff=2012-02-18 | autor=John E. Dunn | url=http://pcworld.co.nz/pcworld/pcw.nsf/news/mac-users-hit-by-first-rogue-antivirus-app | werk=PCWorld New Zealand | archiv-url=https://web.archive.org/web/20110908060410/http://pcworld.co.nz/pcworld/pcw.nsf/news/mac-users-hit-by-first-rogue-antivirus-app | archiv-datum=2011-09-08 | offline=ja | archiv-bot=2019-04-28 22:09:16 InternetArchiveBot }}</ref><ref>{{Internetquelle | zitat=Mac Defender has been making a lot of noise as one of the first major Mac security threats | autor=Adam Dachis | datum=2011-05-25 | zugriff=2012-02-18 | titel=How to Protect Your Computer from Mac Defender and Its Counterparts | url=http://lifehacker.com/5805609/how-to-protect-your-computer-from-mac-defender-and-macguard | werk=lifehacker.com}}</ref><ref>{{Internetquelle | zitat=By and large, Mac users have been able to escape the onslaught of malware that their Windows counterparts suffer from | datum=2011-05-02 | zugriff=2012-02-18 | autor=Dan Moren | titel=New Mac Trojan horse masquerades as virus scanner | url=https://www.macworld.com/article/159595/2011/05/macdefender_trojan_horse.html | werk=Macworld.com}}</ref><ref>{{Internetquelle | titel=Mac Defender fake antivirus software is first major attack on Apple computers | url=http://crave.cnet.co.uk/software/mac-defender-fake-antivirus-software-is-first-major-attack-on-apple-computers-50003812/ | autor=Rich Trenholm | datum=2011-05-19 | zugriff=2012-02-18 | werk=crave.cnet.co.uk | archiv-url=https://web.archive.org/web/20110722084915/http://crave.cnet.co.uk/software/mac-defender-fake-antivirus-software-is-first-major-attack-on-apple-computers-50003812/ | archiv-datum=2011-07-22 | offline=ja | archiv-bot=2019-09-20 11:09:44 InternetArchiveBot }}</ref>

== Symptome ==
Das Programm erscheint in bösartigen Links, welche durch [[Suchmaschinen-Spamming|Indexspamming]] über Seiten wie Google Bildersuche verbreitet werden. Wenn ein Benutzer einen solchen bösartigen Link aufruft, erscheint eine Warnmeldung über Virenbefall des Rechners. Anfangs war diese Warnmeldung im Stil von [[Microsoft Windows XP|Windows XP]] gehalten, wurde später aber durch einen für Mac OS X typischen Stil ersetzt.<ref>{{Internetquelle | autor=Elinor Mills | titel=How bad is the Mac malware scare? (FAQ) | url=https://news.cnet.com/8301-27080_3-20064394-245.html | werk=CNET | datum=2011-05-19 | zugriff=2012-02-18}}</ref> Die Internetseite gibt vor, die [[Systemfestplatte]] gescannt und dabei Viren entdeckt zu haben. Daraufhin wird der Benutzer aufgefordert MAC Defender zu installieren, welches vortäuscht ein [[Antivirenprogramm]] zu sein. Um Nutzern einen Malware-Befall vorzutäuschen, öffnet MAC Defender nach der Installation zufällig Pornoseiten im Browser. Für ein Entfernen dieser vorgetäuschten Malware soll der Nutzer dann eine Lizenz zu einem Preis zwischen 59,95 $ und 79,95 $ kaufen. Darüber hinaus werden die eingegebenen Kreditkartendaten über entsprechende illegale Kanäle weiterverbreitet.<ref>{{Internetquelle | autor=Chester Wisniewski | titel=Mac users hit with fake anti-virus when using Google image search | url=http://nakedsecurity.sophos.com/2011/05/02/mac-users-hit-with-fake-av-when-using-google-image-search/ | werk=Naked Security | hrsg=Sophos | zugriff=2011-05-24 | datum=2011-05-02}}</ref>

== Entwicklung ==
Die Sicherheitssoftware-Firma [[Intego]] berichtete erstmals am 2. Mai 2011 über das angebliche Antivirenprogramm MAC Defender.<ref>{{Internetquelle | url=https://blog.intego.com/intego-security-memo-macdefender-fake-antivirus/ | titel=Intego Security Memo – MAC Defender Fake Antivirus Program Targets Mac Users | hrsg=Intego | datum=2011-05-02 | zugriff=2012-01-16 | sprache=en}}</ref>

=== Neue Varianten ===
In den folgenden Tagen tauchten mehrere neue Varianten der Malware unter den Namen ''Mac Security'' oder ''Mac Protector'' auf.<ref name="macsecurity">{{Internetquelle | url=https://blog.intego.com/intego-discovers-new-variants-of-mac-defender-fake-antivirus/ | titel=Intego Discovers New Variants of Mac Defender Fake Antivirus | hrsg=Intego | datum=2011-05-05 | zugriff=2012-01-16 | sprache=en}}</ref><ref name="macprotector">{{Internetquelle | url=https://blog.intego.com/macdefender-macsecurity-now-macprotector-latest-version-of-fake-antivirus-targeting-mac-users/ | titel=MacDefender, MacSecurity, now MacProtector: Latest Version of Fake Antivirus Targeting Mac Users | hrsg=Intego | datum=2011-05-08 | zugriff=2012-01-16 | sprache=en}}</ref>

Eine Ende Mai unter dem Namen ''Mac Guard'' erschienene Variante installiert sich im [[Benutzerverzeichnis]] des angemeldeten Benutzers, sodass zur Installation keine Passworteingabe notwendig ist. Der Nutzer muss die Installation jedoch weiterhin manuell bestätigen.<ref name="macguard">{{Internetquelle | url=https://blog.intego.com/intego-security-memo-new-mac-defender-variant-macguard-doesnt-require-password-for-installation/ | titel=INTEGO SECURITY MEMO – New Mac Defender Variant, MacGuard, Doesn’t Require Password for Installation | hrsg=Intego | datum=2011-05-25 | zugriff=2012-01-16 | sprache=en}}</ref> Auch hiervon erschienen in den folgenden Tagen mehrere Varianten, teils unter dem Namen ''Mac Shield''.<ref name="macshield">{{Internetquelle | titel=Mac malware morphs to 'MacShield' | url=http://technolog.msnbc.msn.com/_news/2011/06/03/6780300-mac-malware-morphs-to-macshield | werk=Technolog | hrsg=MSNBC | datum=2011-06-03 | zugriff=2012-01-16 | archiv-url=https://web.archive.org/web/20110606015001/http://technolog.msnbc.msn.com/_news/2011/06/03/6780300-mac-malware-morphs-to-macshield | archiv-datum=2011-06-06 | offline=ja | archiv-bot=2019-04-28 22:09:16 InternetArchiveBot }}</ref>

=== Reaktion von Apple ===
Der Blogger Ed Bott von [[ZDNet]] berichtete, dass die Anzahl der Supportanrufe vier- bis fünfmal höher war als üblich. Bis zum 24. Mai 2011, also innerhalb von knapp drei Wochen, gingen seiner Schätzung nach etwa 60.000 Anrufe beim AppleCare-Support zum Thema MAC Defender ein. Die Support-Mitarbeiter wurden laut Bott angewiesen, bei der Entfernung der Malware keine Hilfe zu leisten. Laut einem ungenannten Support-Mitarbeiter sollte diese Regelung verhindern, dass sich Nutzer an den technischen Support wendeten, statt Antivirensoftware einzusetzen.<ref>{{Internetquelle | url=http://www.zdnet.com/blog/bott/an-applecare-support-rep-talks-mac-malware-is-getting-worse/3342 | titel=An AppleCare support rep talks: Mac malware is "getting worse" | autor=Ed Bott | werk=zdnet.com | datum=2011-05-18 | zugriff=2012-01-16 | sprache=en}}</ref><ref>{{Internetquelle | url=http://www.zdnet.com/blog/bott/apple-to-support-reps-do-not-attempt-to-remove-malware/3362 | titel=Apple to support reps: "Do not attempt to remove malware" | autor=Ed Bott | werk=zdnet.com | datum=2011-05-19 | zugriff=2012-01-16 | sprache=en}}</ref>

Am 24. Mai 2011 veröffentlichte Apple eine Anleitung zur Prävention und Entfernung der Malware.<ref>{{Internetquelle | titel=Malware "Mac Defender" vermeiden oder entfernen | url=https://support.apple.com/kb/ht4650?viewlocale=de_DE | hrsg=Apple | zugriff=2012-02-18 | datum=2011-05-24}}</ref> Am 31. Mai 2011 veröffentlichte Apple ein Sicherheitsupdate für Mac OS X, welches den Trojaner von infizierten Macs entfernt und Mac OS X um eine automatische Aktualisierung der Malware-Definitionen erweitert.<ref>{{Internetquelle | titel=Informationen über das Sicherheitsupdate 2011-003 | url=https://support.apple.com/kb/HT4657?viewlocale=de_DE | hrsg=Apple | zugriff=2012-02-18 | datum=2011-05-31}}</ref>

=== Aufklärung ===
Bis zum 18. Juni erschienen mehrere neue Varianten der Malware, auf die Apple mit täglichen Aktualisierungen der Malware-Definitionen reagierte.<ref>{{Internetquelle | url=https://www.macrumors.com/2011/06/20/apple-and-mac-defender-malware-authors-continue-cat-and-mouse-game/ | titel=Apple and 'Mac Defender' Malware Authors Continue Cat-and-Mouse Game | autor=Eric Slivka | werk=macrumors.com | datum=2011-06-20 | zugriff=2012-01-16 | sprache=en}}</ref> Diese Entwicklung endete, nachdem die russische Polizei am 23. Juni Geschäftsräume des russischen Bezahldienstleisters ChronoPay durchsucht hatte, der für MAC Defender und eine ganze Reihe ähnlicher Programme verantwortlich ist.<ref>{{Internetquelle | url=https://krebsonsecurity.com/2011/08/fake-antivirus-industry-down-but-not-out/ | titel=Fake Antivirus Industry Down, But Not Out | autor=Brian Krebs | werk=krebsonsecurity.com | datum=2011-08-03 | zugriff=2012-01-16 | sprache=en}}</ref>

Der Ursprung der Software wurde über die E-Mail-Adresse des Buchhalters von ChronoPay zurückverfolgt. Diese Adresse wurde zur Registrierung mehrerer Internetseiten verwendet, auf welche Anwender geleitet wurden, um die vermeintliche Antivirensoftware zu kaufen.<ref>{{Internetquelle | url=http://www.pcmag.com/article2/0,2817,2386060,00.asp | titel=MacDefender Scareware Linked to Russian Payment Site | autor=Damon Poeter | werk=PCMag.com | sprache=en | datum=2011-05-27 | zugriff=2012-02-18}}</ref><ref>{{Internetquelle | url=https://www.ibtimes.com/articles/153863/20110528/russia-s-chronopay-linked-to-mac-scareware-scam.htm | titel=Russia’s ChronoPay Executive Linked to Mac Defender Scam | datum=2011-05-28 | zugriff=2012-02-18 | werk=International Business Times}}</ref>

== Einzelnachweise ==
<references />

[[Kategorie:Schadprogramm]]

MAC Defender - Versionsgeschichte

imported>SchlurcherBot: Bot: http → https