Apple puede estar preparándose para Nuke Mac Defender desde la órbita en la próxima actualización de Snow Leopard, pero no solo el malware sigue siendo una amenaza muy real... Mac Defender ahora se transformó en un peligro aún mayor que antes.
Compañía antivirus para Mac Intego nos acaba de escribir para alertarnos sobre la última variante de Mac Defender, llamada Mac Guard. Lo que hace que Mac Guard sea tan peligroso en comparación con las variantes anteriores (incluidas MacDefender, MacProtector y MacSecurity) es que Mac Guard no es necesario que ingrese la contraseña de administrador para instalarse.
La primera parte es un descargador, una herramienta que, después de la instalación, descarga una carga útil desde un servidor web. Al igual que con las variantes de malware de Mac Defender, este paquete de instalación, llamado avSetup.pkg, se descarga automáticamente cuando un usuario visita un sitio web especialmente diseñado.
Si la opción "Abrir archivos" seguros "después de descargarlos de Safari está marcada, el paquete abrirá el instalador de Apple y el usuario verá una pantalla de instalación estándar. De lo contrario, los usuarios pueden ver el archivo ZIP descargado y hacer doble clic en él por curiosidad, sin recordar lo que descargaron, luego hacer doble clic en el paquete de instalación. En cualquier caso, se iniciará el instalador de Mac OS X.
A diferencia de las variantes anteriores de este falso antivirus, no se requiere contraseña de administrador para instalar este programa. Dado que cualquier usuario puede instalar software en la carpeta Aplicaciones, no se necesita una contraseña. Este paquete instala una aplicación, el descargador, llamada avRunner, que luego se inicia automáticamente. Al mismo tiempo, el paquete de instalación se borra a sí mismo de la Mac del usuario, por lo que no quedan rastros del instalador original.
La segunda parte del malware es una nueva versión de la aplicación MacDefender llamada MacGuard. La aplicación avRunner lo descarga desde una dirección IP que está oculta en un archivo de imagen en la carpeta de recursos de la aplicación avRunner. (La dirección IP se oculta mediante una forma simple de esteganografía).
Al igual que con otras variantes de Mac Defender, Mac Guard es bastante fácil de evitar si sabe lo que busca y retirar si se infecta accidentalmente.
Sin embargo, ahora que Mac Defender ha dado el salto para infectar las máquinas de los usuarios sin ingresar primero la contraseña de un administrador, es probable que muchas más personas se infecten. La actualización de seguridad de Apple no puede llegar lo suficientemente pronto.