Źli Rosjanie wymyślili fałszywego antywirusa dla Mac OS X

Na początku maja Intego, firma z branży bezpieczeństwa IT, zidentyfikowała oprogramowanie scareware, przeznaczone dla systemów operacyjnych Apple. Użytkownik, który wejdzie (przez przypadek lub w wyniku działania cyberprzestępców zwanego czarnym SEO) na stronę rozpowszechniającą złośliwe oprogramowanie, ryzykuje, że na jego system zostanie ściągnięty trojan. Robak po uruchomieniu podszywa się pod aplikację antywirusową MacDefender, zachęcając do kontynuowania procesu instalacji.

Trojan, po zainstalowaniu, prezentuje efektowny interfejs.

Zwraca uwagę profesjonalizm wykonania programu, zarówno pod względem estetycznym, jak i "merytorycznym" (poprawna angielszczyzna). Jego działanie objawia się tym, że co kilka minut otwiera w przeglądarce internetowej witryny porno - dla użytkownika ma to stanowić dowód na zainfekowanie systemu złośliwym oprogramowaniem.

MacDefender zachęca również do zakupu licencji (wydatek rzędu niecałych 80 USD). Jak to zwykle bywa z programami scareware (rogueware), będą to pieniądze wyrzucone w błoto - a raczej dobrowolnie przekazane cyberoszustom - aplikacja nie robi kompletnie nic.

Tymczasem pracownicy Microsoft Malware Protection Center ustalili pewne podobieństwa pomiędzy MacDefenderem (znanym także pod nazwami MacProtector i MacSecurity), a trojanem Winwebsec, udającym antywirusa dla Windows. O tym, że robaki mogły zostać stworzone przez jedną osobę, lub grupę osób, świadczą m.in. linki URL w ich kodzie - łącza do stron, z którymi komunikują się programy oraz linki do stron, gdzie można "kupić licencję" na antywirusa, wyglądają bardzo podobnie.

Ostatecznym dowodem są podobieństwa w wyglądzie interfejsów rzekomych antywirusów - MacDefendera i MS Removal Tool (Winwebsec wydaje się udawać w pełni legalną aplikację Malicious Software Removal Tool).

Badacze ustalili również, że makowa wersja trojana zapisuje niezbędne do działania pliki w katalogu "ru.lproj", co może wskazywać na rosyjskie pochodzenie jego twórców.

Fałszywy antywirus dla Mac OS X to nowość, ale jego starszy windowsowy brat - już nie. Okazuje się, że oprogramowanie Malicious Software Removal Tool Microsoftu usunęło w czwartym kwartale 2010 r. kopie robaka z ponad 600 tys. komputerów Windows. Winwebsec była w ubiegłym roku trzecią pod względem zasięgu rodziną aplikacji scareware (za FakeSpypro i FakePAV; to ostatnie udawało z kolei program Microsoft Security Essentials).