Nervige Werbung adé

Auf Nummer sicher: Adware am Mac aufspüren und löschen

Adware am Mac: Hintergründe und Hilfe zur Selbsthilfe. Echte Malware ist auf der Mac-Plattform immer noch ein seltener Gast. In steigendem Maße tritt aber sogenannte Adware auf.

Von   Uhr

Man kann es nicht oft genug sagen: macOS ist von Malware quasi nicht gefährdet, ein Virenscanner ist für den Schutz von Mac-Anwendern nahezu überflüssig. Nur unter Windows ist Malware zu finden, die Daten löscht und verschlüsselt, Nutzer ausspioniert und PCs zu einem Teil eines Botnetzes macht. Die vereinzelt auf Macs auftretende Adware, von Fachleuten auch PUA oder Greyware genannt, ist vergleichsweise harmlos. Es handelt es sich um eine ganze Gattung an Werbe-Tools, die den Browser zu Suchmaschinen wie Yahoo umleiten, den Mac in Werbenetzwerke einbinden oder unerwünschte Demoversionen von Mackeeper und iBoost installieren – alles lästig, aber nicht wirklich gefährlich. Dass der Mac ein Adware-Opfer ist, merkt der Nutzer etwa, wenn plötzlich Yahoo als Homepage und als Suchmaschine des Browsers eingestellt ist.

Was bezweckt Adware?

Adware ist keine Computerkriminalität, sondern lästige Werbung – eine Art Vertreterbesuch des Internets. Bisher blieben Mac-Anwender von dieser aggressiven Form des Online-Marketing so gut wie verschont, für Windows-Nutzer ist sie schon lange eine permanente Belästigung. Für die steigende Verbreitung von Adware gibt es einen einfachen Grund: Sie ist ein einträgliches Geschäft. Platziert ein Adware-Autor erfolgreich Tools wie ZipCloud oder iBoost auf den Rechner eines unwissenden Nutzers, gibt es immer wieder unerfahrene Anwender, die diese Software kaufen. Da die Provisionen bei bis zu 50 Prozent des Verkaufspreises liegen, ist sogar die vergleichsweise kleine (aber finanzstarke) Mac-Gemeinde interessant geworden. So ist der oft ungewollt installierte Cloud-Dienst ZipCloud keineswegs eine Malware, sondern ein wenig erfolgreicher Online-Dienst für die Verwaltung komprimierter Dateien.

Hohe Vermittlungsgebühr zahlt anscheinend auch der kriselnde Google-Konkurrent Yahoo, ist eine Umleitung zur deren Webseite doch eines der häufigsten Adware-Ziele.

In der Grauzone: Download-Seiten

In den meisten Fällen erhalten Adware-Opfer ihre Marketing-Infektion durch ein Installationsprogramm. Dies sieht kaum anders aus als ein alltäglicher App-Installer, zusätzlich zum erwünschten Programm installiert es aber ein zweites Tool oder ändert Browser-Voreinstellungen.

Dabei gibt es zwei Kategorien an Installern: harmlose und weniger harmlose. Eher ungefährlich sind die Installer von Downloadseiten. Will man von Software-Quellen wie Macupdate, Download.com oder Chip.de ein Freewareprogramm wie Skype oder Onyx laden, sind die heruntergeladene Daten oft ungewöhnlich klein. Öffnet man die DMG-Datei, findet sich dort nämlich statt des gewünschten Programms ein Installationsprogramm des Webseitenbetreibers. Erst dieses Tool lädt die gewünschte Freeware auf den Rechner – Anbieter begründen dies mit höherem Bedienkomfort – Zweifel sind angebracht. Oft muss sich der Anwender doch durch mehrere Fenster klicken, bis er das Programm endlich heruntergeladen und installiert hat. Was viele Anwender während der Installation übersehen, ist eine so genannte Opt-out-Option in einem der Fenster: Setzt man in einem der Menüs nicht ein bestimmtes Häkchen oder wählt eine Option wie „Überspringen“, installiert der Installer automatisch ein Werbeprogramm oder führt eine Umkonfiguration von Safari aus. Viele Anwender bekommen das gar nicht mit, ist man doch daran gewöhnt, bei Installationen mehrmals auf „Akzeptieren“ zu klicken.

Oft merkt man den Befall von Adware nicht sofort: Man wundert sich aber irgendwann über ein neues Symbol in der Menüleiste und fragt sich, warum plötzlich das Tool Mackeeper oder Zip Cloud auf dem Mac installiert ist. Welche Software die Adware installiert, wechselt bei einigen Installern übrigens ständig, anscheinend werden über siebzig Programme und Dienste auf diese unseriöse Art vertrieben.

Macupdate: Adware auf Downloadseiten

Manche Nutzer werteten es als Tabubruch, der Seitenbetreiber MacUpdate, eine der beliebtesten Downloadseiten für den Mac, sah sich jedoch aus finanziellen Gründen dazu gezwungen: Seit November beginnt MacUpdate, manche Software nur noch per Installationstool anzubieten. Lädt man eine Freeware wie Onyx über die Seite, wird man über das Tool zusätzlich zur Installation von Werbesoftware aufgefordert. Seiten wie Cnet, Softonic und Chip.de praktizieren dies schon länger, MacUpdate hatte aber bisher einen hervorragenden Ruf als verlässliche Softwarequelle.

Niemand hat etwas dagegen, dass sich ein Softwarehersteller durch Werbung finanziert – außer er übertritt dabei Grenzen. So empfiehlt Adobe beim Download des Flash-Players eine Demoversion von Lightroom. Stammt die Adware hingegen vom Betreiber eines Downloadportals wie MacUpdate und ist eine irrtümliche Installation sehr wahrscheinlich, empfinden wir dies als weit problematischer, leidet darunter doch zugleich der Ruf des Softwareherstellers. Bei ungewollt installieren Tuning-Tools wie Mackeeper werden sogar Grenzen zur Scareware übertreten: Behauptet Mackeeper doch bei wirklich jedem Rechner, er hätte Probleme gefunden und der Mac wäre gefährdet. Dass die Systemoptimierungen des Tools oft gefährlich für die Stabilität sind, kommt erschwerend hinzu. Aber auch kleine Tricks, wie alle Browser für Yahoo umzukonfigurieren, sind schlechter Stil. Brauchen doch unerfahrene Anwender oft einige Zeit, um diese Konfigurationsänderung zu erkennen und zu beheben.

Die ungewollte Installation von lästigen Tools hat in den sozialen Netzen bereits einige Beschwerden ausgelöst; langfristig könnte das Renommee von Seiten wie MacUpdate unter dieser Adware leiden. Das wäre schade, sind doch die ausführlichen Softwarebewertungen durch die Besucher der Seite sehr wertvoll.

Die Installer sind teilweise recht komplex. Manche Adware-Tools prüfen sogar, ob eine Antivirensoftware installiert ist oder ob sich die Adware bereits auf dem Rechner befindet.

Entwickelt werden diese aufwändigeren Installer nicht von Hackern, sondern von regulären Firmen wie Genieo und Iron Source. Installer der meisten Download-Seiten wurden beispielsweise mit einem Baukasten der Marke InstallCore erstellt.

Nicht immer wird übrigens eine Installation durchgeführt. So installierten Versionen des Macupdate-Installers Browser-Erweiterungen und Demoversionen. Die aktuelle Version des laufend veränderten Tools ändert nur noch die Suchmaschinen-Voreinstellungen von Safari, Firefox und Google Chrome. Vermutlicher Grund für diese Zurückhaltung: Eine alte Version des Installers löste bei vielen Antivirenscannern Virenalarm aus.

Soll man deshalb Downloadseiten meiden? Oftmals ist der App Store noch immer nicht in der Lage, Seiten wie Macupdate zu ersetzen. Um sich über neue App-Versionen oder Freeware-Tools zu informieren, sind sie daher nach wie vor unerlässlich. Wir empfehlen aber, Software besser direkt von der Seite des App-Entwicklers zu laden und bei Installationen mit offenen Augen vorzugehen.

Weniger harmlos ist eine zweite Kategorie von Installern, die zu illegalen Mitteln greifen und sich beispielsweise als Browser-Erweiterung, Video-Player oder Flash-Update tarnen. Verbreitet werden diese Installer oft über unverdächtig wirkende Webseiten, die seriöse Software-Seiten imitieren. Auch hier ist nicht die Installation von Schadsoftware, sondern von Adware das Ziel.

So gab ein Tool sich als Installer für die Freeware Download-Shuttle aus, installierte aber in Wirklichkeit Tools wie Genieo, VSearch und Mackeeper. Genieo und VSearch gehen noch einen Schritt weiter als „legale“ Adware und nutzen sogenannte Ad-Injection-Funktionen – ein Hintergrundprogramm sorgt dafür, dass Safari bestimmte Werbung anzeigt. Die Tools verwenden manchmal sogar Sicherheitslücken in macOS, um Werbesoftware zu installieren. Unter OS X 10.10 konnte einer dieser Installer eine Sicherheitsabfrage vor der Installation umgehen. Da vor der Installation einer Safari-Erweiterung ein Dialogfenster erscheint, führte das Tool den Mausklick per Skript gleich selbst durch. Ein anderes Tool änderte gezielt die Adblocker-Liste eines Browser-Adblockers. Unter OS X 10.11 ist diese Sicherheitslücke aber bereits geschlossen.

Einsteiger: Entfernen mit Malwarebytes

Adware ist nicht neu, Apple hat in seinem Support-Bereich deshalb eine Anleitung zur Suche und Entfernung von Adware veröffentlicht. Die Anleitung richtet sich aber eher an erfahrene Anwender und berücksichtigt keine neueren Adware-Versionen.

Für weitergehende Untersuchungen des Mac eignet sich KnockKnock. Die recht komplexe Software spricht aber eher Profis an.
Für weitergehende Untersuchungen des Mac eignet sich KnockKnock. Die recht komplexe Software spricht aber eher Profis an. (Bild: Screenshot)

Hat man den Verdacht, ein Rechner sei von Malware befallen, empfehlen wir deshalb als ersten Schritt eine Systemüberprüfung mit der Software Anti-Malware von Malwarebytes. Die Freeware ist wie das Vorgängerprodukt Adware Medic auf Mac-Adware spezialisiert und wird laufend aktualisiert. Die Bedienung ist selbst für Computereinsteiger geeignet: Man öffnet das Programm und klickt auf den Button „Scan“. Die Stärke des Tools ist das schnelle Erkennen und Löschen bekannter Adware. So entfernt Anti-Malware komfortabel Adware wie Genieo und Vsearch, die sich in bis zu neun verschiedenen Systemordnern verewigen.

Mit der Freeware Anti-Malware von Malwarebytes ist die einfache Prüfung auf Adware und Malware möglich.
Mit der Freeware Anti-Malware von Malwarebytes ist die einfache Prüfung auf Adware und Malware möglich. (Bild: Screenshot)

Ungewollte Demoversionen wie Mac Keeper oder iBoost entfernt die Software jedoch nicht. Diese muss man manuell deinstallieren beziehungsweise einen Deinstaller des Softwareherstellers nutzen – etwas Recherche ist dabei leider oft erforderlich. Machtlos ist das Tool ebenfalls, wenn ein Installer nur Systemeinstellungen ändert, wie der Installer von Macupdate. Immerhin führt der Installer diese Umkonfiguration nur einmal durch. Es genügt also, den Ursprungzustand einfach wiederherzustellen.Profis: KnockKnock

Einen völlig anderen Weg bei der Malware-Suche geht das Tool KnockKnock: Während Anti-Malware typische Dateien bekannter Adware sucht und entfernt, prüft die Freeware systematisch alle Daten in problematischen Systemordnern. Im Prinzip macht das etwas kurios benannte Tool genau das, was ein erfahrener Anwender tun würde: an kritischen Stellen nach verdächtigen Dateien suchen.

Das ist die zwar gründlichste Methode, die Auswertung der Ergebnisse setzt aber viel Erfahrung voraus und dauert länger. So listet das Tool nur die Browser-Erweiterungen von Firefox und Google Chrome auf. Safari-Erweiterungen kann es nicht prüfen. Hilfreich ist es bei Adware wie VSearch, die unter verschiedensten Namen immer wieder neu auftritt – aber die gleichen Methoden benutzt. Damit eine Adware funktioniert, muss sie sich auf dem Mac nämlich in bestimmten Ordnern installieren – etwa bei den Startobjekten oder den Frameworks. KnockKnock prüft alle Dateien in den betroffenen Ordnern und meldet bekannte Adware oder Malware. Als Schadsoftware bekannte Dateien werden rot markiert. Findet man eine unbekannte Datei, kann man sie per Mausklick mit dem Webdienst Virustotal überprüfen. Ein Tipp für Einsteiger: Oft genügt es, mit dem Tool einen einfachen Scan durchzuführen. Bereits beim ersten Durchgang kann KnockKnock manche Adware aufspüren.

Schutz durch XProtect und Antivirensoftware

Wenig Schutz vor Adware bietet indes der in das System integrierte Malware-Filter von Apple. Zwar erkennt und blockt das Apple Programm bei einem Download mehrere Dutzend Malware-Tools (dabei handelt es sich übrigens vor allem um Adware von Genieo & Co.). Die auch als XProtect bekannte Schutzsoftware versagt aber bei Tools, die per Installations auf den Rechner gelangen, und wird bei neueren Bedrohungen oft zu langsam aktualisiert. Leider genügen bereits kleinste Änderungen an den Adware-Tools, damit XProtect den Schädling nicht mehr erkennt.

Wenig erfolgreich in der Erkennung von Adware sind herkömmliche Antivirenprogramme. Obwohl sie es ausdrücklich versprechen, schützen Programme wie Kaspersky Antivirus, Sophos oder Avira nach unseren Erfahrungen nur begrenzt. So werden die Installer von Download-Portalen nur von sehr wenigen Antivirenscannern als Schadsoftware eingestuft. Das ist aber kein Versagen dieser Hersteller, denn rechtlich machen die Betreiber von Download-Portalen nichts Illegales. Tools wie Mackeeper sind schließlich keine Malware, sondern – wie es Fachleute bezeichnen – „Potentially Unwanted Applications“. Wie uns Stefan Rojacher von Kaspersky bestätigt, muss der Hersteller eines Virenscanners vermeiden, zu strikt vorzugehen, sind doch bei Antivirensoftware Fehlalarme, also Warnungen von ungefährlicher Software, ein großes Problem. Deshalb würden nur Programme als Malware eingestuft, die eine bestimmte Grenze überschreiten. Bei einer Yahoo-Browser-Erweiterung oder einem Systemtool wie Mackeeper kann es sich schließlich auch um ein vom Nutzer erwünschtes Werkzeug handeln, das seinen Nutzer im Installer schließlich über die Installation informiert.

Nur wenige Antivirensoftware-Hersteller gehen aggressiver vor, wie uns einige Tests mit der Seite www.virustotal.com zeigen. Der Webdienst ermöglicht die gleichzeitige Prüfung verdächtiger Dateien mit 53 verschiedenen Virenscannern – man muss eine Datei nur hochladen und bekommt nach kurzer Wartezeit das Prüfergebnis präsentiert. Beim Download-Tool von MacUpdate und anderen Adware-Tools schlagen bei unseren Stichproben nur sehr wenige Virenscanner Alarm. Gute Ergebnisse erzielen die Scanner von Doctor Web, Sophos und AVG. Leider gilt das Ergebnis nur für die PC-Version des AVG-Scanners, nicht für die Mac-Version. Den besten Eindruck macht beim Thema Adware der eher unbekannte Scanner von Doctor Web. Auf der Windows-Plattform gilt dieser zwar als zweitklassig, der Hersteller hat sich seit einigen Jahren aber verstärkt um die Mac-Plattform gekümmert. Trotzdem, die Installation eines Virenscanners halten wir nicht für notwendig. Adware ist auf dem Mac einfach zu selten, als dass sich dessen permanenter Einsatz lohnen würde. Schließlich greifen die Scanner tief ins System ein und verursachen unter Umständen mehr Ärger als jede Adware. Wir empfehlen deshalb, verdächtige Installer mit dem Webdienst Virus Total zu testen.

Fazit

Zum Glück tritt Adware nur selten auf. Aber leider ist es für Einsteiger gar nicht so einfach, sie wieder loszuwerden. Mit der Lösung von Malwarebytes kann man aber die meisten Lästlinge bequem entfernen. Eine echte Gefahr geht von den Störenfrieden nicht aus, die Installation eines Virenscanners wäre deshalb völlig übertrieben – und lästige Demos muss ein Anwender sowieso selbst löschen.

Virustotal ist ein Webdienst, der verdächtige Dateien überprüft. Die Installer von Download-Seiten stufen allerdings nur wenige Scanner als Malware ein.
Virustotal ist ein Webdienst, der verdächtige Dateien überprüft. Die Installer von Download-Seiten stufen allerdings nur wenige Scanner als Malware ein. (Bild: Screenshot)

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Auf Nummer sicher: Adware am Mac aufspüren und löschen" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Hallo,

passend zum Artikel hier:
In letzter Zeit passier es mir öfter, dass ich beim Anklicken eines Artikels auf MacLife.de auf eine Seite umgeleitet werde, die meinen Mac nach Viren scannen will und ein MacCleaner.pkg herunter lädt.

Haben andere dieses Problem auch ?

Hallo Michael,

hab Dank für den Hinweis, den wir auch schon von anderer Seite erhalten haben. Die IT weiß Bescheid und kümmert sich.

Grüße und Dank aus der Redaktion,
Stefan

Ja, bei mir das gleiche. Deswegen habe ich den Artikel gelesen. Meistens macht er ein neues Fenster auf und will java installieren. Mir ist aufgefallen, dass es immer bei den Artikel ist, wo unten der mit seinen 30.000 € in der Minute Artikel steht.

ja ich

Danke für die Info

Bei mir erscheint immer was anderes in einem neuen Tab... mal der MacCleaner, mal ein FlashUpdate und mal eine Java Installation

Hallo Zusammen,

ich habe folgendes Problem:
Ich habe Malewarebytes an meinem Macbook angewendet und auch Schadsoftware gefunden. Diese habe ich anschließend auch gelöscht.
Jetzt habe ich das Problem, dass ich trotz WLAN-Verbindung keine Internetverbindung habe (Safari,App-Store usw. läd nicht und zeit keine Verbindung an).
Mit anderen Geräten Laptop,Handy,Ipad usw. funktioniert das Internet.

Ich bitte um Hilfe, da mir die Ideen ausgehen (AEG "Ausschalten Einschalten Geht" habe ich schon versucht.

Gruß
Marvin

Die Kommentare für diesen Artikel sind geschlossen.