俄罗斯反病毒公司Dr. Web报道称,目前出现一个新的Mac OS X有害程序安装器,它安装了多个可疑应用程序并有意逃避反病毒软件。
多数潜在的有害程序(也称PUP、广告软件、或“废件”)都让人烦恼但却是合法的,包括可疑的“系统优化器”、安全软件、以及重置浏览器主页或劫持搜索结果的浏览器扩展。PUP悄悄与网上的合法软件绑定,并“借用”用户赋予合法软件的许可予以安装。
通常PUP的目的是投放广告或者向用户出售不必要的软件。然而,Dr. Web指出Adware.Mac.InstallCore.1却并非如此。它是一款真正的恶意软件,它是一款假装成其它东西如Adobe Flash Player或共享软件OS X媒体播放器MPlayerX的木马(一些报告指出MPlayerX本身即是广告软件,但已被Apple审查通过并出现在Mac应用商店中)。
截止目前,Adware.Mac.InstallCore.1所安装的软件相对来讲并非恶意软件。但只要一按开关,它便可通过真正的恶意软件如键盘 记录器、银行木马、加密勒索软件或硬盘数据粉碎机(其中有一款恶意软件在去年秋天毁灭了索尼影视的数千台电脑)感染Mac。一般的PUP不会这么做,因为 他们的制造者及传播者通常可被发现、被罚款、被起诉。
一旦用户允许安装Adware.Mac.InstallCore.1,它做的第一件事就是检查是否存在Mac反病毒程序,如AVG、Avast、 Bitdefender、Comodo、ESET、F-Secure、Intego、卡巴斯基实验室、Sophos或赛门铁克,以及开源反病毒程序 ClamXav。同时它还会检测设备是否被安全研究人员使用,如OS X是否在虚拟机上运行或者带有开发者工具。一旦发现,它会立即停止安装;否则会安装最多10款恶意软件,包括系统优化器、安全软件、媒体播放器及浏览器劫 持器。多数程序是合法的,但用户的系统可能并不需要。
这些安装器通过僵尸或窃取的数字证书验证来绕过OS X的Gatekeeper软件。其中一个属于真正的MPlayerX软件的中国制造商;另外两个使用了新闻报道中谋杀案件嫌疑犯的名字(其中一名被无罪释放)。
要阻止Adware.Mac.InstallCore.1及其他有害程序,需要在Mac上安装一个反病毒程序并持续更新。过去已经出现了许多危险的OS X恶意软件,随着用户的增长,未来的恶意软件可能会持续增多。
如果用户已被广告软件或其他PUP感染,可尝试安装并运行CCleaner的Mac版本。同时也可重置浏览器,Mozilla Firefox及Google Chrome也提供了安装指南。Apple曾允许重置Safari,但在OS X 10.10 Yosemite中用非常复杂的程序取而代之。
最后,用户要特别谨慎自己下载并安装的东西。这个恶意木马利用的正是用户的警觉意识而非OS X软件本身。