Apple bereidt zich misschien voor op nuke Mac Defender uit zijn baan in de volgende Snow Leopard-update, maar niet alleen is de malware nog steeds een zeer reële bedreiging... Mac Defender is nu gemuteerd tot een nog groter gevaar dan voorheen.
Mac-antivirusbedrijf Intego heeft ons zojuist geschreven om ons op de hoogte te stellen van de nieuwste variant van Mac Defender, genaamd Mac Guard. Wat Mac Guard zo gevaarlijk maakt in vergelijking met eerdere varianten (waaronder MacDefender, MacProtector en MacSecurity) is dat Mac Guard hoeft u uw beheerderswachtwoord niet in te voeren om zichzelf te installeren.
Het eerste deel is een downloader, een tool die na installatie een payload van een webserver downloadt. Net als bij de Mac Defender-malwarevarianten, wordt dit installatiepakket, avSetup.pkg genaamd, automatisch gedownload wanneer een gebruiker een speciaal ontworpen website bezoekt.
Als Safari's "Open 'veilige' bestanden na downloaden" optie is aangevinkt, zal het pakket het installatieprogramma van Apple openen en ziet de gebruiker een standaard installatiescherm. Als dat niet het geval is, kunnen gebruikers het gedownloade ZIP-archief zien en erop dubbelklikken uit nieuwsgierigheid, zich niet herinnerend wat ze hebben gedownload, en vervolgens dubbelklikken op het installatiepakket. In beide gevallen wordt het Mac OS X-installatieprogramma gestart.
In tegenstelling tot de vorige varianten van deze nep-antivirus, is er geen beheerderswachtwoord vereist om dit programma te installeren. Aangezien elke gebruiker software kan installeren in de map Programma's, is een wachtwoord niet nodig. Dit pakket installeert een applicatie - de downloader - genaamd avRunner, die vervolgens automatisch wordt gestart. Tegelijkertijd verwijdert het installatiepakket zichzelf van de Mac van de gebruiker, zodat er geen sporen van het oorspronkelijke installatieprogramma achterblijven.
Het tweede deel van de malware is een nieuwe versie van de MacDefender-toepassing genaamd MacGuard. Dit wordt door de avRunner-toepassing gedownload vanaf een IP-adres dat is verborgen in een afbeeldingsbestand in de map Bronnen van de avRunner-toepassing. (Het IP-adres wordt verborgen met behulp van een eenvoudige vorm van steganografie.)
Net als bij andere varianten van Mac Defender, is Mac Guard eenvoudig genoeg om: voorkomen als je weet wat je zoekt, en verwijderen als u per ongeluk besmet raakt.
Nu Mac Defender echter de sprong heeft gemaakt om de machines van gebruikers te infecteren zonder eerst een beheerderswachtwoord in te voeren, is het waarschijnlijk dat veel meer mensen geïnfecteerd zullen raken. De beveiligingsupdate van Apple kan niet snel genoeg komen.