Apple mungkin bersiap untuk Nuke Mac Defender dari orbit dalam pembaruan Snow Leopard berikutnya, tetapi tidak hanya malware yang masih menjadi ancaman yang sangat nyata… Mac Defender sekarang bermutasi menjadi bahaya yang lebih besar dari sebelumnya.
Perusahaan antivirus Mac Intego baru saja menulis kepada kami untuk mengingatkan kami tentang varian terbaru dari Mac Defender, yang disebut Mac Guard. Apa yang membuat Mac Guard sangat berbahaya dibandingkan dengan varian sebelumnya (termasuk MacDefender, MacProtector dan MacSecurity) adalah bahwa Mac Guard tidak perlu Anda memasukkan kata sandi administrator Anda untuk menginstal sendiri.
Bagian pertama adalah pengunduh, alat yang, setelah penginstalan, mengunduh muatan dari server web. Seperti varian malware Mac Defender, paket penginstalan ini, yang disebut avSetup.pkg, diunduh secara otomatis saat pengguna mengunjungi situs web yang dibuat khusus.
Jika opsi "Buka file 'aman' setelah mengunduh" Safari dicentang, paket akan membuka Penginstal Apple, dan pengguna akan melihat layar penginstalan standar. Jika tidak, pengguna dapat melihat arsip ZIP yang diunduh dan mengekliknya dua kali karena penasaran, tidak mengingat apa yang diunduh, lalu mengeklik dua kali paket penginstalan. Dalam kedua kasus tersebut, Penginstal Mac OS X akan diluncurkan.
Berbeda dengan varian antivirus palsu sebelumnya, tidak diperlukan password administrator untuk menginstal program ini. Karena setiap pengguna dapat menginstal perangkat lunak di folder Aplikasi, kata sandi tidak diperlukan. Paket ini menginstal aplikasi – pengunduh – bernama avRunner, yang kemudian diluncurkan secara otomatis. Pada saat yang sama, paket penginstalan menghapus dirinya sendiri dari Mac pengguna, sehingga tidak ada jejak penginstal asli yang tertinggal.
Bagian kedua dari malware adalah versi baru dari aplikasi MacDefender yang disebut MacGuard. Ini diunduh oleh aplikasi avRunner dari alamat IP yang disembunyikan dalam file gambar di folder Sumber Daya aplikasi avRunner. (Alamat IP disembunyikan menggunakan bentuk steganografi sederhana.)
Seperti varian Mac Defender lainnya, Mac Guard cukup mudah untuk menghindari jika Anda tahu apa yang Anda cari, dan menghapus jika Anda tidak sengaja terinfeksi.
Namun, sekarang Mac Defender telah membuat lompatan untuk menginfeksi mesin pengguna tanpa memasukkan kata sandi administrator terlebih dahulu, kemungkinan lebih banyak orang akan terinfeksi. Pembaruan keamanan Apple tidak dapat segera hadir.