Спустя считанные часы после того как Apple открыто призналась в том, что
кампания по борьбе с жульничеством была липовой, разработчики "scareware"
выпустили новую версию программы с новым именем и упрощенным процессом установки
без запроса пароля, сообщила одна из антивирусных компаний Франции.
"Принимая во внимание время выхода и новое имя можно судить о том, что
программа была непосредственной реакцией на откровения Apple", - сообщил Питер
Джеймс, разработчик продукции под Mac и представитель Intego.
Во вторник Apple
признала угрозу, исходящую от так называемого "scareware", поддельного ПО,
которое информирует пользователя о том, что компьютер заражен червями, вирусами
и другими вредоносными программами. Однажды установленное, данное программное
обеспечение досаждает пользователя повсеместно всплывающими окнами и ложными
тревогами безопасности до тех пор, пока не заставит его раскошелиться на
бесполезную программу.
Apple также добавила, что обновит Mac OS X, при этом добавив в операционную
систему возможность обнаружения и удаления MacDefender scareware.
Группа, ответственная за MacDefender, а также и более ранние варианты
MacProtector и MacSecurity, должна хотя бы новости почитать, заявил Джеймс.
"Поменяли имя на MacGuard и опять выпустили . Они словно посмеялись над Apple",
- поделился Джеймс. Преступники также поменяли способ распространения фальшивого
антивируса. Теперь все происходит в два этапа. Небольшой загрузчик, "avRunner",
после своего проникновения в Mac выходит на подконтрольный хакеру сайт для
загрузки поддельного MacGuard.
Но в новой версии имеется и более важная фича. "В отличие от предыдущих
версий в новой версии программы нет необходимости вводить пароль для установки
загрузчика", - пояснил Джеймс. "Люди как и прежде будут видеть экран установки –
атакующим пока не удалось полностью от него избавиться – но теперь для установки
потребуется лишь несколько раз кликнуть на кнопку “OK”. Еще одним препятствием
меньше".
avRunner избегает необходимости ввода пароля администратора путем установки
прямо в папку с приложениями. В отличие от легального пакета установки, да по
сути даже и нелегального, размещение исполняемого файла в папке с приложениями
не требует пароля если пользователь является администратором. После того, как
avRunner благополучно попал в папку с приложениями, он сливает MacGuard с
удаленного севера.
"Сейчас в блогах очень много комментариев по поводу того, что глупые
пользователи Apple сами во всем виноваты, ибо собственноручно вводили пароль
администратора", - сказал Джеймс. "Хакеры же теперь могут спокойно возразить,
что им и пароль то не особо нужен".
Джеймс рассказал, что судя по всему за scareware стоят либо
восточноевропейские, либо русские хакеры. На прошлой неделе
сотрудники Microsoft
обнаружили связь между Mac-аферой и схожим трюком под Windows, при этом
заключив, что за все ответственна одна и та же группировка.
"Это очень умные люди", - признался Джеймс. "Что касается Windows, то
удивительного ничего нет, но среди них определенно есть несколько отличных
разработчиков ПО под Mac".
Пользователи Mac, работающие на Safari, могут помешать avRunner автоматически
запустить экран установки если снимут галочку с опции "Открывать безопасные
файлы после загрузки" в настройках браузера.
