Apple kan forberede sig på nuke Mac Defender fra kredsløb i den næste Snow Leopard -opdatering, men ikke kun er malware stadig en meget reel trussel... Mac Defender muterede nu til en endnu større fare, end den var før.
Mac antivirus firma Intego skrev lige til os for at advare os om den nyeste variant af Mac Defender, kaldet Mac Guard. Hvad der gør Mac Guard så farligt i forhold til tidligere varianter (herunder MacDefender, MacProtector og MacSecurity) er, at Mac Guard behøver ikke, at du indtaster din administratoradgangskode for at installere sig selv.
Den første del er en downloader, et værktøj, der efter installationen downloader en nyttelast fra en webserver. Som med Mac Defender -malware -varianter downloades denne installationspakke, kaldet avSetup.pkg, automatisk, når en bruger besøger et specielt udformet websted.
Hvis Safaris indstilling "Åbn" sikre "filer efter download" er markeret, åbner pakken Apples installationsprogram, og brugeren vil se en standard installationsskærm. Hvis ikke, kan brugere se det downloadede ZIP-arkiv og dobbeltklikke på det af nysgerrighed, uden at huske, hvad de downloadede, og derefter dobbeltklikke på installationspakken. I begge tilfælde starter Mac OS X Installer.
I modsætning til de tidligere varianter af dette falske antivirus, kræves der ingen administratoradgangskode for at installere dette program. Da enhver bruger kan installere software i mappen Programmer, er en adgangskode ikke nødvendig. Denne pakke installerer et program - downloaderen - navngivet avRunner, som derefter starter automatisk. Samtidig sletter installationspakken sig selv fra brugerens Mac, så der ikke efterlades spor af det originale installationsprogram.
Den anden del af malware er en ny version af MacDefender -applikationen kaldet MacGuard. Dette downloades af avRunner -applikationen fra en IP -adresse, der er skjult i en billedfil i avRunner -programmets ressourcer -mappe. (IP -adressen er skjult ved hjælp af en simpel form for steganografi.)
Som med andre varianter af Mac Defender er Mac Guard let nok til undgå hvis du ved hvad du leder efter, og fjerne hvis du ved et uheld bliver smittet.
Nu hvor Mac Defender har taget springet til at inficere brugernes maskiner uden først at indtaste en administratoradgangskode, er det dog sandsynligt, at mange flere vil blive inficeret. Apples sikkerhedsopdatering kan ikke komme hurtigt nok.
