KnockKnock: Gratis-Tool von Sicherheitsexperten klopft Mac auf Malware ab

23. Apr. 2019 13:00 Uhr - Redaktion

macOS ist standardmäßig sehr gut abgesichert, dafür sorgen unter anderem XProtect und MRT (Scan auf Ad- und Malware bei Downloads und Bootvorgang), System Integrity Protection (verhindert, dass eventuell durchgeschlüpfte Schadsoftware Eingriffe ins System vornimmt), Laufzeitschutz, Sandboxing und Gatekeeper. Die Installation einer ständig im Hintergrund laufenden sogenannten "Antiviren-Software" ist nicht erforderlich - davon ist sogar abzuraten.

Eine solche sogenannte "Antiviren-Software" kann selbst ein großes Sicherheitsrisiko darstellen, da sie meistens mit höherstufigen Zugriffsberechtigungen läuft und dadurch ihrerseits Angriffsfläche bietet. Sie gräbt sich zudem tief ins System ein, was zu Leistungseinbußen, Problemen bei macOS-Aktualisierungen und Inkompatibilitäten mit anderen Anwendungen führen kann. Ebenfalls wichtig in diesem Kontext: Gegen bislang unbekannte Malware gibt es ohnehin keinen Schutz - und bekannte Mac-Malware spüren XProtect/MRT ohnehin auf. Eine fachlich fundierte, tiefergehende Analyse der Thematik ist bei Experten-Blog macmark.de zu finden (hier und hier).

 
Elf Gründe fürs Online-Shopping
 
KnockKnock analysiert das System auf mögliche Malware-Installationen.
Bild: Patrick Wardle.

 

Was jedoch durchaus sinnvoll sein kann, ist ein gelegentlicher manueller Scan des kompletten Systems im laufenden Betrieb - dieses Feature fehlt XProtect/MRT bislang. Schließlich kann es - auf welchem Weg auch immer - durchaus sein, dass bekannte Malware durchgeschlüpft ist. Hier kommt KnockKnock ins Spiel, ein kostenfreies Tool des renommierten Sicherheitsexperten Patrick Wardle:

"Malware installiert sich dauerhaft, um sicherzustellen, dass sie bei jedem Neustart eines Computers automatisch ausgeführt wird. KnockKnock deckt dauerhaft installierte Software auf, um diese Malware generisch aufzudecken. [...] KnockKnock überprüft bekannte Standorte, an denen möglicherweise dauerhafte Software oder Malware installiert ist. Es listet einfach nur dauerhaft installierte Software auf. Obwohl signierte Apple-Binärdateien ausgefiltert werden, wird wahrscheinlich legitime Drittanbieter-Software angezeigt."

Die Treffer gleicht das ab OS X Mountain Lion lauffähige, in englischer Sprache vorliegende KnockKnock automatisch mit der Datenbank von VirusTotal ab und gibt gegebenenfalls entsprechende Warnmeldungen aus. KnockKnock ist als komplementäres Analyse-Werkzeug zu sehen und richtet sich an Profi-User und Admins, die mit macOS vertraut sind, aber genau wissen wollen, was im System vor sich geht.

Kommentare

von Malwarebytes’ Testversion ist deren Einschränkung: kein Echtzeitschutz. Ich starte es nur, wenn ich es mal brauche und date es so wenig wie möglich up. Denn dann startet die kostenlose 14 Tage-Vollversion wieder. Virendefinitionen werden trotzdem aktualisiert. Das hier werde ich auch mal testen.