Apple bereitet sich möglicherweise darauf vor Nuke Mac Defender aus dem Orbit im nächsten Snow Leopard-Update, aber nicht nur ist die Malware immer noch eine sehr reale Bedrohung... Mac Defender mutiert jetzt zu einer noch größeren Gefahr als zuvor.
Mac-Antivirus-Unternehmen Intego hat uns gerade geschrieben, um uns auf die neueste Variante von Mac Defender namens Mac Guard aufmerksam zu machen. Was Mac Guard im Vergleich zu früheren Varianten (einschließlich MacDefender, MacProtector und MacSecurity) so gefährlich macht, ist, dass Mac Guard Sie müssen nicht Ihr Administratorkennwort eingeben, um sich selbst zu installieren.
Der erste Teil ist ein Downloader, ein Tool, das nach der Installation eine Nutzlast von einem Webserver herunterlädt. Wie bei den Mac Defender-Malware-Varianten wird dieses Installationspaket namens avSetup.pkg automatisch heruntergeladen, wenn ein Benutzer eine speziell gestaltete Website besucht.
Wenn Safaris Option „Sichere Dateien nach dem Herunterladen öffnen“ aktiviert ist, öffnet das Paket das Installationsprogramm von Apple und der Benutzer sieht einen Standardinstallationsbildschirm. Wenn nicht, können Benutzer das heruntergeladene ZIP-Archiv sehen und aus Neugierde doppelklicken, ohne sich daran zu erinnern, was sie heruntergeladen haben, und dann auf das Installationspaket doppelklicken. In beiden Fällen wird das Mac OS X-Installationsprogramm gestartet.
Im Gegensatz zu den vorherigen Varianten dieses gefälschten Antivirus ist kein Administratorkennwort erforderlich, um dieses Programm zu installieren. Da jeder Benutzer Software im Anwendungsordner installieren kann, ist kein Kennwort erforderlich. Dieses Paket installiert eine Anwendung – den Downloader – namens avRunner, die dann automatisch gestartet wird. Gleichzeitig löscht sich das Installationspaket selbst vom Mac des Benutzers, sodass keine Spuren des ursprünglichen Installationsprogramms zurückbleiben.
Der zweite Teil der Malware ist eine neue Version der MacDefender-Anwendung namens MacGuard. Diese wird von der avRunner-Anwendung von einer IP-Adresse heruntergeladen, die in einer Bilddatei im Resources-Ordner der avRunner-Anwendung versteckt ist. (Die IP-Adresse wird mit einer einfachen Form der Steganographie versteckt.)
Wie bei anderen Varianten von Mac Defender ist Mac Guard einfach genug, um vermeiden wenn Sie wissen, wonach Sie suchen, und Löschen wenn Sie sich versehentlich infiziert haben.
Nachdem Mac Defender jedoch den Sprung geschafft hat, die Computer der Benutzer zu infizieren, ohne zuerst das Kennwort eines Administrators einzugeben, werden wahrscheinlich viel mehr Menschen infiziert. Das Sicherheitsupdate von Apple kann nicht früh genug kommen.