Mac OSX Tipp: Google Malware – ksfetch (nobody) Meldung von Little Snitch entfernen

34

Wer die geniale Firewall-Software Little Snitch von Objective Development auf seinem Mac installiert hat, der ist sich der zunehmenden Gefahren durch versteckte Malware, ausspionierenden Apps und nach Hause telefonierender Software sicherlich schon bewusst.

Allerdings vermutet so manch einer sicherlich, dass sich dieses Spionage-Gebahren mancher Software auf kleine zwielichtige Software-Buden beschränkt, die auf das schnelle Geld aus sind. Das mag in der Mehrzahl der Fälle auch so sein, allerdings waren wir besonders überrascht, als wir in letzter Zeit von einem Prozess namens ksfetch (nobody) durch Little Snitch alamiert wurden, der ganz offenbar alle 15 Minuten eine Verbindung zu tools.google.com über den TCP Port 443 (https) herstellen will.

Besonders bemerkenswert: Egal ob ksfetch per Little Snitch erlaubt wird die Verbindung herzustellen oder nicht, die Nachfrage kommt immer wieder und liess sich nur mit einem Trick abstellen. Wie das funktioniert zeigt diese Mini-Anleitung.

Etwas googlen hat schnell gezeigt, was es mit ksfetch auf sich hat.

Der Prozess gehört offenbar zum Google Software Update, einer Library, die automatisch mit verschiedenen Google Applikationen unter Mac OSX installiert wird (u.a. Google Earth, Google Chrome, Google Gears und Goolge Picasa).

Soweit also nichts Ungewöhnliches, wenn das Google Software Update ab und an versucht mal nach Hause zu teloefonieren und nachzufragen, ob es denn vielleicht ein Update zu den installierten Google Applications gibt (ungewöhnlich nicht, aber nervig – auch das kann man dem User komfortabel in entsprechenden Einstellungen überlassen, ob er/sie einen entsprechenden Service nutzen möchte und in welchem Intervall).

Nun ist man sicherlich geneigt, das Google Software Update einfach auzustellen. In der Software (Google Earth, Google Chrome, Google Gears und Goolge Picasa) gibt es dafür leider keine Einstellungen. Also zeigt eine weitere Recherche bei Google, dass das GoogleSoftwareUpdate eine eigene Library ist, die man hier lokalisieren kann:

Library/Google/GoogleSoftwareUpdate/

Wer jetzt denkt, dass es einfach reicht das Verzeichnis zu löschen und der Spuk ist vorbei, der hat sich geschnitten… Die Google Apps haben alle einen Check eingebaut, die prüfen, ob das GoogleSoftwareUpdate Verzeichnis existiert und falls nicht dieses einfach automatisch “reparieren”…

Wem das noch nicht nah genug an der Definition von Malware liegt, der sucht mal nach einem Uninstaller oder einer Anleitung bei Google, wie sich das GoogleSoftwareUpdate entfernen lässt…

Geht nicht. Einen Uninstaller gibt es nicht. Die häufigsten Vorschläge sind, die Google Apps zu löschen und einfach auf Google Earth, Google Chrome, Google Gears und Goolge Picasa zu verzichten… Nicht gerade praktikabel…

Also bleibt nur ein Workaround, den wir auch selbst angewendet haben.

Dieser setzt die Rechte des Verzeichnisses Library/Google/GoogleSoftwareUpdate/ einfach so, dass das ksfetch nicht mehr gestartet werden kann.

Dazu einfach das Verzeichnis GoogleSoftwareUpdate im o.g. Pfad per Finder finden, dann mit der rechten Maustaste anklicken und im Kontextdialog “Informationen” anwählen.

Dann können ganz unten im aufgehende Fenster zum Verzeichnis die Benutzerrechte eingestellt werden.

Im Normalfall sind diese Rechte ausgegraut und können nicht direkt geändert werden. Ein Klick auf das Schloss in der unteren rechten Ecke des Fensters öffnet ein neues Fenster in dem man sich mit Benutzername und Passwort die Administrationsrechte holt.

Ist das Schloss einmal offen, sind die Verzeichnisrechte wie folgt einzustellen:

System: lesen & schreiben
everyone: keine Rechte

Der Ordner erhält daraufhin ein “Einbahnstrassen-Schild” in der rechten unteren Ecke und die Meldung von ksfetch in Little Snitch verschwindet, da das GoogleSoftwareUpdate nicht mehr gestartet werden kann.

Hat der Trick bei euch auch geklappt? Habt Ihr eine bessere Lösung für das Problem? Was sagt Ihr zum Thema Malware bei Google?

Teile den Artikel mit Deinen Freunden!
Tweet about this on TwitterShare on FacebookShare on Google+Pin on PinterestShare on LinkedInBuffer this pageShare on TumblrEmail this to someone
  • FlyLo

    Ich war kurz davor, zu verzweifeln. Vielen Dank für den Tipp!

  • http://www.sonoya.com admin

    Ja, dass Google sowas macht ist ja auch wirklich nicht das was wir bisher für möglich gehalten haben :-(

  • http://danielbroeckerhoff.de Daniel Bröckerhoff

    Danke für den Artikel. Hab das Problem seit 4 Tagen und es nervt mich wie Hölle. Mal sehen ob euer Workaround was bringt :-)

  • keyman

    Ja, google ist da schon mehr als rotzfrech, was das angeht. Auf jeden Fall ein guter Tipp. Hat mich voll genervt, dass es nicht zu verbieten ging! Danke :)

  • gent

    Funktioniert (nicht ganz). Bei mir hat das Verzeichnis auch noch die Gruppe “wheel” zugeordnet. Dieser Gruppe kann ich keine “keine Rechte” geben, sondern nur, “lesen” (hat sie bereits) oder “nur schreiben”. Da ich auch in der Gruppe “wheel” bin, kann ich das leider so nicht machen. Achtung: Wenn man die Standardgruppen eines Ordners entfernt (in dem Fall “wheel” löscht, dann kann man diese nicht ohne ziemlichen Aufwand wiederherstellen).

  • Dani

    Mir geht es so wie “gent”. Mal sehen ob’s trotzdem funktioniert.
    Was bedeutet eigentlich “wheel” als Verzeichnis?
    Auf jeden Fall erst mal vielen Dank für den Workaround!

  • Dani

    Funktioniert leider bei mir nicht!
    Der Updater von Google schreibt offenbar die Zugriffsrechte des Ordners selber wieder um, so dass der Trick nur eine kurze Zeit Ruhe bringt …

    Schade! Und eine absolute Frechheit von Google!!!
    Ich hoffe, Google ändert das schleunigst und bringt ein Update von Chrome.

  • http://www.sonoya.com admin

    Wir haben bei einem anderen Rechner einfach auch Wheel die Rechte entzogen bzw. gelöscht. In Wheel ist nur der Admin enthalten… Und damit hat niemand mehr Zugriff; Little Snitch meldet sich nicht mehr.

  • 123zeitvorbei

    ich habe das haeckchen bei ‘locked’ (geschuetzt) noch reingemacht dann ging es

  • Claudia

    Frechheit von Google. Echt voll nervig gewesen – Danke für den Umweg. Funzt!

    Für alle, die die Library suchten – so wie ich – und nicht mitbekommen haben, dass die seit neuestem von Apple versteckt wurde. Terminal öffnen und:

    chflags nohidden ~/Library/

    eingeben.

  • Roger

    Nein, hat nur ein paar Tage funktioniert. Jetzt kommt die Meldung immmer wieder…

  • http://www.sonoya.com admin

    Und wenn Du Dir die Dateirechte anschaust, dann steht da das Gleiche wie in der Abbildung im Artikel oder hast Du Wheel noch als Gruppe bestehen gelassen?

  • Thaddaeus

    Eine eigene Regel in Little Snitch, die alle Verbindungen zu tools.google.com verbietet ?

  • Bette

    Ich kann auch mit Hilfe des Terminals und der von Claudia vorgeschlagenen Eingabe von chflags nohidden ~/Library/ den Pfad und den GoogleUpdateService auf meinem Mac nicht finden.

    Hat da jemand eine Idee?

  • Bette

    Ahh, zwar nicht über Spotlight gefunden, aber jetzt war ein weiterer Google-Ordner zu sehen und den konnte ich öffnen.

    Was ist denn jetzt mit wheel? die Gruppe löschen? Konnte nichts darüber finden, warum ich wheel vielleicht doch nicht löschen sollte…

  • Juergen

    Google did evil!
    Vielen Dank für die Info, mich hat es auch riesig genervt.
    Ich werd’s auch versuchen es so loszuwerden. Und falls nicht, allmählich bin ich schon so trotzig, dann eben ohne google.

    ist übrigens auch keine so schlechte Alternative als Suchseite, falls es jemand interessiert.

  • Eick

    Vielen DanK!
    Rettung.
    Grüße

  • Crowne

    Wieso steht bei mir ein zusätzliches “unknown” unter System und Everyone. Diesem “unknown” kann ich nämlich nicht die Rechte auf Zugriff entziehen, lediglich “Read” oder “Write (Dropbox)”.

  • kai

    wundervoll, endlich ruhe! herzlichen dank! :)

  • Dave

    Kein Update mehr suchen zu lassen ist auch keine lösung!

    Ich habe mich erstmal damit beholfen:

    http://www.fauxzen.com/little-snitch-google-chrome-ksfetch-issues/

    Damit soll das Update-such-Intervall auf eine Woche hoch gesetzt werden. Es scheint zu funktionieren und 1x die Woche kann ich mit der Meldung leben.

  • Birgit

    das habe ich gemacht und ich hatte ein paar Tage Ruhe. Jetzt ist der Spuk zurück! Obwohl ich wieder und wieder die Rechte auf keine gestellt habe, kommt die Anfrage alle 15 Minuten in doppelter Ausführung zurück. Das Einbahnstraßenschild auf dem Köfferchen ist auch weg.
    Hat jemand noch einen Tipp?

    Lieben Dank Birgit

  • Luda

    wie wärs mit sperren der Website ?

    1) starte das Programm Terminal
    2) starte folgenden Editor:
    sudo pico /etc/hosts
    3) füge folgende Zeile ein:
    127.0.0.1 tools.google.com
    4) Beenden/Speichern mit ^X (ctlr-x)

    Gruss Luda

  • http://www.snappo.de snappo

    Dank LittleSnitch 3 lassen sich jetzt nicht nur ausgehende, sondern auch eingehende Verbindungen blocken.

    -> im Monitor GoogleSoftwareUpdate auswählen, Rechtsklick, Regel erstellen. Am Ende sieht das so aus:

    /Users/XY/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/MacOS/GoogleSoftwareUpdateAgent

    Verbiete alle eingehenden Verbindungen

    Jetzt ist Ruhe. GoogleEarth funktioniert allerdings erst wieder richtig, wenn LittleSnitch abgestellt ist.

  • Dominik Bach

    zur Lösung von @Luda:

    Wichtig beim Editieren der Host-Datei ist ein TAB-Sprung zwischen 127.0.0.1 und tools.google.com, nicht einfach nur ein Leerzeichen!

    127.0.0.1 (TAB drücken) tools.google.com

  • http://www.siebdruckbuxbaum.com dirkson

    danke,danke,danke,danke,danke,danke,danke,danke,danke,danke,danke !!!!!!

  • Sissi

    Ich bin so dankbar, dass es solche tollen Artikeln gibt, wie diesen. Super beschrieben – kurz, knackig und verständlich UND vor allem hilfreich!

    Tausend Dank dafür!

  • Andy

    Funktioniert bei mir nicht :(
    Verzeichnisrechte geändert aber das Einbahnstrassenschild erscheint nicht und ksfetch belästigt mich weiterhin fleißig. Verzweiflung!!!!!!!!!

  • Nick B

    Per Konsole gehts ganz gut. Allerdings kommt trotzdem ab und an die Nachricht, dass der Updater nicht gestartet werden kann.

    Hab folgendes gefunden
    http://wireload.net/products/guu-google-update-uninstaller/

    Obs klappt, werd ich gleich bald sehen, habs grad erst installiert

  • Doug

    … Vorsicht – es gibt das Verzeichnis Library/Google/GoogleSoftwareUpdate/ 2x … oder besser gesagt, es gibt auch ein Verzeichnis im eigenen home (also ~Library/Google/GoogleSoftwareUpdate/).
    Ändern muss man aber die Rechte im Library/Google/GoogleSoftwareUpdate/ (nicht im home) – sonst funktionierts nicht, und es kommt immer wieder (wie von gent und Dani beschrieben)

  • Scholli

    Das Workaround mit Verzeichnisrechten hilet nurt wernige Stunden!
    Dann ich habe einfach mal den ganzen Ordner “GoogleSoftwareUpdate” gelöscht und seit 3 Tagen keine Problem mehr.

  • Michel

    Also ich war auch kurz davor durchzudrehen, interessant ist aber das ich das Problem nur auf meinem 10.6.8 Mac habe alle anderen mit 10.7 haben diesen hinweis nicht.
    Mal sehen wie es weitergeht.

  • Pasewald

    Hat leider nicht geklappt, Google überschreibt innerhalb einer Stunde die entzogenen Rechte und alles ist wieder beim Alten! Da steckt der der NSA hinter….

  • SenioreT

    Leider funktioniert es hier auch nicht.
    Mavericks frisch nach Veröffentlichung, Google Chrome (sonst nix von Google).

  • Schwakowiak

    Jaja, Google is watching you!!! Ich habe nur das Google Earth Plugin installiert, und habe den Ärger auch erst, seit ich nach Maverick Update von Little Snitch auf HandsOff gewechselt habe (bzw seit dem sehe ich es erst…) Die Lösung habe ich hier gefunden: http://www.wardt.info/little-snitch-and-ksfetch/
    Scheinbar generiert sich KSFetch ständig neue Überverzeichnisse im /private/tmp/ Ordner, dh Little Snitch bzw HandsOff wird ständig mit einem neuen Verzeichnis umgangen und scheinbar werden von da aus auch die Rechte des /Library/Google Ordners wieder geändert. Schon gruselig…
    Jedenfalls habe ich eine der Regeln in HandsOff mit einem Platzhalter (*) versehen: /private/tmp/*/ksfetch und siehe da: seit dem ist Ruhe!
    Danke an Richard Wardt!
    PS.: Google Earth fliegt trotzdem runter, alleine aus Prinzip!!!