Apple saattaa valmistautua siihen nuke Mac Defender orbista seuraavan Snow Leopard -päivityksen aikana, mutta haittaohjelma ei ole pelkästään todellinen uhka… Mac Defender muuttui nyt vielä suuremmaksi vaaraksi kuin ennen.
Mac -virustorjuntayritys Intego juuri kirjoittanut meille varoittaaksemme Mac Defenderin uusimmasta versiosta, nimeltään Mac Guard. Mikä tekee Mac Guardista niin vaarallisen verrattuna aiempiin versioihin (mukaan lukien MacDefender, MacProtector ja MacSecurity) on se, että Mac Guard ei tarvitse syöttää järjestelmänvalvojan salasanaa voidakseen asentaa itsensä.
Ensimmäinen osa on latausohjelma, työkalu, joka lataa asennuksen jälkeen hyötykuorman verkkopalvelimelta. Kuten Mac Defender -haittaohjelmavaihtoehtojen kohdalla, tämä asennuspaketti, nimeltään avSetup.pkg, ladataan automaattisesti, kun käyttäjä vierailee erityisellä verkkosivustolla.
Jos Safarin "Avaa" turvalliset "tiedostot lataamisen jälkeen" -vaihtoehto on valittuna, paketti avaa Applen asennusohjelman ja käyttäjä näkee tavallisen asennusnäytön. Jos ei, käyttäjät voivat nähdä ladatun ZIP-arkiston ja kaksoisnapsauttaa sitä uteliaisuudesta, muistaen lataamansa, ja kaksoisnapsauta sitten asennuspakettia. Molemmissa tapauksissa Mac OS X -asennusohjelma käynnistyy.
Toisin kuin tämän väärennetyn virustentorjunnan aiemmat versiot, järjestelmänvalvojan salasanaa ei tarvita tämän ohjelman asentamiseen. Koska kuka tahansa käyttäjä voi asentaa ohjelmiston Sovellukset -kansioon, salasanaa ei tarvita. Tämä paketti asentaa sovelluksen - lataajan - nimeltään avRunner, joka käynnistyy sitten automaattisesti. Samaan aikaan asennuspaketti poistaa itsensä käyttäjän Macista, joten alkuperäisestä asennusohjelmasta ei jää jälkiä.
Haittaohjelman toinen osa on MacDefender -sovelluksen uusi versio nimeltä MacGuard. AvRunner -sovellus lataa tämän IP -osoitteesta, joka on piilotettu avRunner -sovelluksen Resurssit -kansion kuvatiedostoon. (IP -osoite on piilotettu yksinkertaisella steganografialla.)
Kuten muidenkin Mac Defender -versioiden kanssa, Mac Guard on riittävän helppo välttää jos tiedät mitä etsit, ja Poista jos saat vahingossa tartunnan.
Kuitenkin nyt, kun Mac Defender on tehnyt hyökkäyksen käyttäjien koneiden tartuttamiseen antamatta ensin järjestelmänvalvojan salasanaa, on todennäköistä, että paljon enemmän ihmisiä tarttuu. Applen tietoturvapäivitys ei voi tulla tarpeeksi pian.
