Fałszywe antywirusy na Mac OS X atakują!

Data publikacji: 19/05/2011, CERT Polska

mac  os x rogue antivirus

Od początku miesiąca w Internecie zamieszczane są informacje o pojawianiu się stron podszywających się pod oprogramowanie antywirusowe dla systemów Mac OS X. Strona wyświetla listę „znalezionych” na komputerze zagrożeń oraz sugeruje instalację oprogramowania, które pozwoli na ich usunięcie. W rezultacie w systemie instalowane jest złośliwe oprogramowanie, które nakłaniania użytkownika do zakupu licencji! Nie są znane inne funkcje tego malware. Czy oznacza to początek ery złośliwego oprogramowania na komputerach Apple?

Jak się chronić ?

Dotychczas oprogramowanie to można było znaleźć pod nazwami:

MACDefender
Mac Security
Mac Protector

Pod tym adresem znajduje się instrukcja usunięcia oprogramowania z systemu.
Poniżej zrzut ekranu przedstawiający stronę podszywającą się pod oprogramowanie do wykrywania zagrożeń:

mac os x rogue av

W przypadku trafienia na stronę, która „wyszukuje” zagrożenia na naszym komputerze oraz oferuje „pomoc w ich usunięciu” zalecamy szczególną ostrożność, opuszczenie podejrzanej strony, oraz pod żadnym pozorem nie instalowanie sugerowanego oprogramowania. Stronę taką (adres URL) można również zgłosić do CERT Polska.

Wstępne analizy

Podczas wstępnej analizy paczki z aplikacją znaleziono parę ciekawych adresów url:

MacProtector.app/Contents/MacOS # strings MacProtector  | grep http | sort | uniq
http://%@
http://buy-viagra-now.net
http://fitish.com
http://gay.porn.com
http://%@/i.php%@
http://mac-defence.com
http://%@/mac.php%@
http://www.freebdsmgalleries.com
http://www.gay.com
http://www.porn.com

oraz prę ciekawych komend:

MacProtector.app/Contents/MacOS # strings MacProtector  | grep "| " | sort | uniq
df -lg | awk 'NR==1{OFS=" ";$1=$1;print;next}{OFS="|";$1=$1;print}'
ioreg -rd1 -c IOPlatformExpertDevice | grep IOPlatformUUID
ps -eo %@ | awk 'NR==1{OFS=" ";$1=$1;print;next}{OFS="|";$1=$1;print}'

Prace nad szczegółową analizą trwają.