Apple kan förbereda sig för nuke Mac Defender från omloppsbana i nästa Snow Leopard -uppdatering, men inte bara är skadlig programvara fortfarande ett mycket verkligt hot... Mac Defender muterade nu till en ännu större fara än det var tidigare.
Mac antivirus företag Intego skrev precis till oss för att varna oss för den senaste varianten av Mac Defender, kallad Mac Guard. Det som gör Mac Guard så farligt jämfört med tidigare varianter (inklusive MacDefender, MacProtector och MacSecurity) är att Mac Guard du behöver inte ange administratörens lösenord för att kunna installera sig själv.
Den första delen är en nedladdare, ett verktyg som efter installationen laddar ner en nyttolast från en webbserver. Precis som för Mac Defender -varianter för skadlig programvara hämtas detta installationspaket, avSetup.pkg, automatiskt när en användare besöker en speciellt utformad webbplats.
Om Safari "Öppna" säkra "filer efter nedladdning" är markerat öppnar paketet Apples installationsprogram och användaren ser en standardinstallationsskärm. Om inte, kan användare se det nedladdade ZIP-arkivet och dubbelklicka på det av nyfikenhet, inte komma ihåg vad de laddade ner och dubbelklicka sedan på installationspaketet. I båda fallen startar Mac OS X Installer.
Till skillnad från de tidigare varianterna av detta falska antivirusprogram krävs inget administratörslösenord för att installera detta program. Eftersom alla användare kan installera programvara i mappen Applications behövs inget lösenord. Detta paket installerar en applikation - nedladdaren - som heter avRunner, som sedan startas automatiskt. Samtidigt raderar installationspaketet sig från användarens Mac, så inga spår av det ursprungliga installationsprogrammet lämnas kvar.
Den andra delen av skadlig programvara är en ny version av MacDefender -programmet som heter MacGuard. Detta laddas ner av avRunner -programmet från en IP -adress som är dold i en bildfil i avRunner -programmets resursmapp. (IP -adressen är dold med en enkel form av steganografi.)
Som med andra varianter av Mac Defender är Mac Guard lätt nog att undvika om du vet vad du letar efter, och avlägsna om du av misstag blir smittad.
Men nu när Mac Defender har gjort språnget för att infektera användares maskiner utan att först ange ett administratörslösenord kommer det troligen att mycket fler människor kommer att smittas. Apples säkerhetsuppdatering kan inte komma snart nog.