XProtect en EICAR

April 2015 aangepast in OS X 10.11 of eerder
Na een discussie gisteren met een kennis over de beveiliging van OS X dacht ik eraan om het functioneren van XProtect even te testen (MBP met OSX 10.10.3)
Ik heb het bestand EICAR.com kunnen downloaden van de site van eicar (http://www.eicar.org/85-0-Download.html)
Ik kan het bestand eidar.com echter normaal openen met TextEdit; geen enkele melding van XProtect.
Heeft iemand een idee hoe dit komt?

Reacties

  • timoshatimosha    Moderator
    eicar.com is een Win32 executable. Wat verwacht je dan dat OS X (en Xprotect) met een Windows executable gaat doen?
  • Best timosha,

    Dit bijvoorbeeld had ik verwacht:
    https://discussions.apple.com/thread/5360983
    http://www.cnet.com/news/what-is-the-eicar-testfile/
    Dit was voor mij voldoende om aan te nemen dat Xprotect eicar zou detecteren.
    Noteer overigens dat ik eicar.com met TextEdit geopend heb (zoals beschreven in link hierboven)
    Ik heb op een (virtueel) testsysteem even Sophos voor OSX geïnstalleerd, die detecteert het wel

    Als jij een ander mannier kent (en ik twijfel er eigenlijk niet aan dat het zo is) om te weten of Xprotect werkt en de lijst up-to-date is dan verneem ik dat graag.
  • timoshatimosha    Moderator
    April 2015 aangepast
    De laatste Xprotect update voor Yosemite is van 21 maart 2015. De eicar malware (met de juiste fingerprint) zit in de update:

  • Bedankt timosha,

    Ik ben even op zoek gegaan naar Protest.plist en die dateert inderdaad van 21 maart en bevat eicar.
    Nu blijft mijn vraag: waarom wordt deze niet gedetecteerd bij opening van het bestand?
    Kan je me nog even verder helpen?

    Description
    OSX.eicar.com.i
    Matches


    Identity

    M5WFbOgfK3OC3ucmAveYtkLxQUA=

    MatchFile

    NSURLNameKey
    eicar.com

    MatchType
    Match




  • April 2015 aangepast
    Ik heb je link gevolgd naar het artikel op het Apple discussie forum.
    http://www.eicar.org/download/eicar.com

    Als ik de link probeer te downloaden in Firefox, krijg ik een waarschuwing in mijn browser (zie plaatje hieronder). Het bestand komt ook niet in mijn downloadmap te staan.

    image

    Opvallend is dat als ik de link in Safari download, het bestand wél in mijn downloadmap komt te staan, en ik het ook gewoon kan openen in TextEdit.

    image
  • Hieruit begrijp ik dus dat ik niet de enige ben met dit "probleem" (voor zover dit een probleem is)
    Is er een wijze om te testen of na te zien of Xprotect wel degelijk actief is en zijn werk doet?
  • Je kan de logs bekijken via Console.app - als je de logging start en dan een nieuw gedownloade App voor het eerst opent zie je de activiteit van XProtect langskomen. Je kan evt filteren op proces 'XProtectService' zodat je minder ruis ziet... Je kan ook kijken naar de logs van syspolicyd, het proces achter Gatekeeper, wat de nodige controles uitvoert en naar lsd, de local system policy deamon.

    Voorbeeld:
    info	11:05:10.147619+0100	XprotectService	Xprotect is performing a direct malware and dylib scan: <private>	com.apple.xprotect	xprotect
    
Log In of Registreer om te reageren.