2425158

Xprotect aktualisiert: Mac-Variante des EXE-Virus gesperrt

26.04.2019 | 11:55 Uhr | Peter Müller, Halyna Kubiv

Xprotect, eine Blacklist aller bekannten Malware am Mac, wird in regelmäßigen Abständen aktualisiert.

Apple aktualisiert regelmäßig sein System XProtect, im wesentlichen eine Blacklist, die Gatekeeper dazu nutzt, Malware nicht auf den Rechner zu lassen. In der letzten Aktualisierung vom 19. April hat der bekannte Sicherheitsforscher Patrick Wardle ein interessantes Detail gefunden: Die Datei MACOS.d1e06b8 enthält eine Signatur für PE-Dateien, "Portable Executables", die man auf Windows findet.

Das hat seinen Hintergrund, denn laut Wardle verweist diese Definition auf die Malware TrojanSpy.MacOS.Winplyer, die eine EXE-Datei ist, die sich über einen Umweg auf dem Mac ausführen lässt. In einem Download, der sich als die populären Firewall Little Snitch tarnte, fand sich eine Infektion damit, nach Entpacken der DMG konnte die Hauptdatei die EXE in einem mitgelieferten Mono-Framework ausführen. Dieses konnte Gatekeeper auch bisher umgehen, nun aber nicht mehr.

Apple aktualisiert Xprotect-Liste außerhalb der gewöhnlichen Updates, dazu ist die Malware-Liste so tief im System versteckt, dass man als gewöhnlicher Nutzer nie damit in Berührung kommt, was Apple sicherlich auch intendiert hat. Wer sich für solche Hintergrundinfos im System interessiert, kann die App " LockRattler " von Dr. Howard Oakley, einem ehemaligen Redakteur von MacUser, installieren.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2425158