Apple se prépare peut-être à Nuke Mac Defender de l'orbite dans la prochaine mise à jour de Snow Leopard, mais non seulement le malware est toujours une menace très réelle… Mac Defender est maintenant devenu un danger encore plus grand qu'auparavant.
Société d'antivirus pour Mac Intégo vient de nous écrire pour nous alerter sur la dernière variante de Mac Defender, appelée Mac Guard. Ce qui rend Mac Guard si dangereux par rapport aux variantes précédentes (y compris MacDefender, MacProtector et MacSecurity), c'est que Mac Guard n'a pas besoin que vous entriez votre mot de passe administrateur pour s'installer.
La première partie est un téléchargeur, un outil qui, après installation, télécharge une charge utile à partir d'un serveur Web. Comme pour les variantes du malware Mac Defender, ce package d'installation, appelé avSetup.pkg, est téléchargé automatiquement lorsqu'un utilisateur visite un site Web spécialement conçu.
Si l'option "Ouvrir les fichiers "sûrs" de Safari après le téléchargement" est cochée, le package ouvrira le programme d'installation d'Apple et l'utilisateur verra un écran d'installation standard. Sinon, les utilisateurs peuvent voir l'archive ZIP téléchargée et double-cliquer dessus par curiosité, sans se souvenir de ce qu'ils ont téléchargé, puis double-cliquer sur le package d'installation. Dans les deux cas, le programme d'installation de Mac OS X se lancera.
Contrairement aux variantes précédentes de ce faux antivirus, aucun mot de passe administrateur n'est requis pour installer ce programme. Étant donné que n'importe quel utilisateur peut installer un logiciel dans le dossier Applications, un mot de passe n'est pas nécessaire. Ce package installe une application – le téléchargeur – nommée avRunner, qui se lance ensuite automatiquement. Dans le même temps, le package d'installation se supprime du Mac de l'utilisateur, de sorte qu'aucune trace du programme d'installation d'origine n'est laissée.
La deuxième partie du malware est une nouvelle version de l'application MacDefender appelée MacGuard. Ceci est téléchargé par l'application avRunner à partir d'une adresse IP qui est cachée dans un fichier image dans le dossier Resources de l'application avRunner. (L'adresse IP est masquée à l'aide d'une simple forme de stéganographie.)
Comme avec d'autres variantes de Mac Defender, Mac Guard est assez facile à éviter si vous savez ce que vous cherchez, et supprimer si vous êtes accidentellement infecté.
Cependant, maintenant que Mac Defender a franchi le pas pour infecter les machines des utilisateurs sans saisir au préalable le mot de passe d'un administrateur, il est probable que beaucoup plus de personnes seront infectées. La mise à jour de sécurité d'Apple ne peut pas arriver assez tôt.
