Περί MacDefender ο λόγος...

defendericon.png
Έχω καιρό να γράψω στο blog λόγω ανειλημμένων υποχρεώσεων, αλλά για το συγκεκριμένο θέμα αισθάνθηκα οτι έπρεπε να πω μερικά πράγματα. Εδώ και μερικές εβδομάδες κυκλοφορεί ένα malware, το λεγόμενο MacDefender ή MacProtector, και πάρα πολύς κόσμος το έχει κάνει install... Αυτό που δε μπορώ να καταλάβω είναι το γιατί το έκανε install, και το δεύτερο που με εξοργίζει είναι οτι το αποκαλούν ιο... κάτι το οποίο είναι απολύτως αναληθές αφού δε φέρει κανένα χαρακτηριστικό ιού! Κατάφερα μετά από μερικές μέρες να το βρω... και θέλω να δείτε γιατί μου φαίνεται εξωφρενικό το οτι το έκαναν τόσοι πολλοί install...
Περισσότερα μετά το break.

Ψάχνοντας λοιπόν στο google images κατάφερα και βρήκα ένα από τα fraudulent sites που διαδίδουν το malware. Το πρώτο πράγμα λοιπόν που έγινε ήταν το παρακάτω.
defender1.png

... μετά από αυτό θα έπρεπε να πατήσω Go Back η να κλείσω τον browser... αλλά εγώ πάτησα επίτηδες Ignore Warning, και αυτό είχε σαν αποτέλεσμα να μου βγάλει άλλο ένα Warning...

defender2.png

Πάτησα και εδώ Continue επίτηδες, και με ξαναέβγαλε στην προηγούμενη σελίδα... στην οποία αυτή τη φορά έπρεπε να πατήσω 3 φορές Ignore Warning... Με τα πολλά έφτασα στο fraudulent site.

defender3.png

Το οποίο αν προσέξετε έχει και άλλο ένα warning το οποίο αυτή τη φορά με ειδοποιεί ( προσπαθεί να με φοβίσει μάλλον) οτι έχω κάποιον ιό, πρίν ακόμα "ψάξει" τον υπολογιστή μου... για να μην αναφερθώ στο γεγονός οτι παρουσιάζει ένα παράθυρο του Finder μέσα στο browser και οτι ουδεμία σχέση έχει το Side bar με αυτό του υπολογιστή μου... Παρόλαυτα εγώ πάτησα ΟΚ και ... μου έβγαλε πάλι το αρχικό warning... άλλη μια φορά...

defender4.png

και μόνο όταν πάτησα, για άλλη μια φορά... Ignore Warning, κατέβασε το αρχείο anti-malware.zip το οποίο αν είχα ενεργοποιημένο το open safe files θα το ξεζίπαρε και θα έτρεχε το mpkg που είχε μέσα... Το έκανα manually όμως, και κατά το installation μου ζήτησε κωδικό admin...
defender6.gif

Ο εν λόγω installer εγκαθιστά ένα πρόγραμμα, το MacDefender η στη συγκεκριμένη περίπτωση MacProtector, και ένα Login Item για να τρέχει το πρόγραμμα όταν ξεκινάει ο υπολογιστής. Μπορείτε να το απεγκαταστήσετε σχετικά εύκολα, πετώντας την εφαρμογή στα σκουπίδια, και αφαιρώντας το Login Item (System Preferences--> Accounts--> Login Items), κάντε ένα reboot, αδειάστε και τον κάδο, και όλα οκ. Να πω επίσης οτι σήμερα έβγαλε και η Apple ένα support document το οποίο με λίγα λόγια λέει... Μην το εγκαταστήσετε... αν το εγκαταστήσετε μή δώσετε στοιχεία πιστωτικής κάρτας... και για να το απεγκαταστήσετε, έχει τις οδηγίες που έδωσα παραπάνω... Επίσης αναφέρει οτι σύντομα θα βγάλει security update το οποίο θα ανανεώσει τη λίστα με τα safe files για όσους έχουν ενεργοποιημένη τη συγκεκριμένη επιλογή στο browser, καθώς και θα καθαρίσει τους υπολογιστές που έχουν εγκατεστημένο το malware.

Το support document.
http://support.apple.com/kb/HT4650

ακολουθεί ένα receipt του πακέτου με όλα τα αρχεία που περιλαμβάνει, όπως θα δείτε δεν εγκαθιστά τίποτα άλλο παρά μόνο το MacProtector.app

./MacProtector.app
./MacProtector.app/Contents
./MacProtector.app/Contents/Info.plist
./MacProtector.app/Contents/MacOS
./MacProtector.app/Contents/MacOS/MacProtector
./MacProtector.app/Contents/PkgInfo
./MacProtector.app/Contents/Resources
./MacProtector.app/Contents/Resources/About-Back.png
./MacProtector.app/Contents/Resources/About-Mail.png
./MacProtector.app/Contents/Resources/About-Phone32x32.png
./MacProtector.app/Contents/Resources/About-Ticket.png
./MacProtector.app/Contents/Resources/AboutD.nib
./MacProtector.app/Contents/Resources/AboutMBMI.png
./MacProtector.app/Contents/Resources/CC-Back.png
./MacProtector.app/Contents/Resources/CC-BigOptions.png
./MacProtector.app/Contents/Resources/CC-BigOptionsHover.png
./MacProtector.app/Contents/Resources/CC-BigOptionsPressed.png
./MacProtector.app/Contents/Resources/CC-BigScan.png
./MacProtector.app/Contents/Resources/CC-BigScanHover.png
./MacProtector.app/Contents/Resources/CC-BigScanPressed.png
./MacProtector.app/Contents/Resources/CC-BigSysInfo.png
./MacProtector.app/Contents/Resources/CC-BigSysInfoHover.png
./MacProtector.app/Contents/Resources/CC-BigSysInfoPressed.png
./MacProtector.app/Contents/Resources/CC-CleanupBtn.png
./MacProtector.app/Contents/Resources/CC-CleanupHoverBtn.png
./MacProtector.app/Contents/Resources/CC-CleanupPressedBtn.png
./MacProtector.app/Contents/Resources/CC-Exclam.png
./MacProtector.app/Contents/Resources/CC-MoreBtn.png
./MacProtector.app/Contents/Resources/CC-MoreHoverBtn.png
./MacProtector.app/Contents/Resources/CC-MorePressedBtn.png
./MacProtector.app/Contents/Resources/CC-Ok.png
./MacProtector.app/Contents/Resources/CC-Question.png
./MacProtector.app/Contents/Resources/CC-Register.png
./MacProtector.app/Contents/Resources/CC-RegisterHover.png
./MacProtector.app/Contents/Resources/CC-RegisterPressed.png
./MacProtector.app/Contents/Resources/CC-Scan.png
./MacProtector.app/Contents/Resources/CC-ScanHover.png
./MacProtector.app/Contents/Resources/CC-ScanPressed.png
./MacProtector.app/Contents/Resources/CC-StartScan2Btn.png
./MacProtector.app/Contents/Resources/CC-StartScan2HoverBtn.png
./MacProtector.app/Contents/Resources/CC-StartScan2PressedBtn.png
./MacProtector.app/Contents/Resources/CC-Update.png
./MacProtector.app/Contents/Resources/CC-UpdateHover.png
./MacProtector.app/Contents/Resources/CC-UpdatePressed.png
./MacProtector.app/Contents/Resources/Cleanedup.mp3
./MacProtector.app/Contents/Resources/ClearMBMI.png
./MacProtector.app/Contents/Resources/ControlCenterD.nib
./MacProtector.app/Contents/Resources/ControlCenterMBMI.png
./MacProtector.app/Contents/Resources/CrashAppAlert.nib
./MacProtector.app/Contents/Resources/Curing_1.png
./MacProtector.app/Contents/Resources/Curing_2.png
./MacProtector.app/Contents/Resources/Curing_3.png
./MacProtector.app/Contents/Resources/Curing_4.png
./MacProtector.app/Contents/Resources/Curing_5.png
./MacProtector.app/Contents/Resources/Curing_6.png
./MacProtector.app/Contents/Resources/Curing_7.png
./MacProtector.app/Contents/Resources/Curing_8.png
./MacProtector.app/Contents/Resources/English.lproj
./MacProtector.app/Contents/Resources/English.lproj/InfoPlist.strings
./MacProtector.app/Contents/Resources/English.lproj/Localizable.strings
./MacProtector.app/Contents/Resources/English.lproj/MainMenu.nib
./MacProtector.app/Contents/Resources/ExitMBMI.png
./MacProtector.app/Contents/Resources/FilenamePlace.png
./MacProtector.app/Contents/Resources/Fonts
./MacProtector.app/Contents/Resources/Fonts/MyriadPro-It.otf
./MacProtector.app/Contents/Resources/Fonts/MyriadPro-Regular.otf
./MacProtector.app/Contents/Resources/Fonts/MyriadPro-Semibold.otf
./MacProtector.app/Contents/Resources/Fonts/MyriadPro-SemiboldIt.otf
./MacProtector.app/Contents/Resources/HorizSeparator.png
./MacProtector.app/Contents/Resources/MB-Infected.png
./MacProtector.app/Contents/Resources/MB-OK.png
./MacProtector.app/Contents/Resources/MB-Unknown.png
./MacProtector.app/Contents/Resources/NS-BigBack.png
./MacProtector.app/Contents/Resources/NS-BigBackNoBorder.png
./MacProtector.app/Contents/Resources/NS-BlueExclamPict.png
./MacProtector.app/Contents/Resources/NS-CleanupButton.png
./MacProtector.app/Contents/Resources/NS-CloseBtn.png
./MacProtector.app/Contents/Resources/NS-CloseBtnPressed.png
./MacProtector.app/Contents/Resources/NS-RedExclamPict.png
./MacProtector.app/Contents/Resources/NS-RegisterButton.png
./MacProtector.app/Contents/Resources/NS-ResumeScan.png
./MacProtector.app/Contents/Resources/NS-ScanFinished.png
./MacProtector.app/Contents/Resources/NS-ScanPause.png
./MacProtector.app/Contents/Resources/NS-ScanStop.png
./MacProtector.app/Contents/Resources/NS-SmallBack.png
./MacProtector.app/Contents/Resources/NS-SmallBackNoBorder.png
./MacProtector.app/Contents/Resources/NS-StartScan.png
./MacProtector.app/Contents/Resources/NS-VirusFound.png
./MacProtector.app/Contents/Resources/NS-YellowExclamPict.png
./MacProtector.app/Contents/Resources/NotificationPWnd.nib
./MacProtector.app/Contents/Resources/Options-Back.png
./MacProtector.app/Contents/Resources/OptionsD.nib
./MacProtector.app/Contents/Resources/OptionsMBMI.png
./MacProtector.app/Contents/Resources/PauseScanMBMI.png
./MacProtector.app/Contents/Resources/PayFormWnd.nib
./MacProtector.app/Contents/Resources/RegWinD.nib
./MacProtector.app/Contents/Resources/Register-Back.png
./MacProtector.app/Contents/Resources/Register-BuyBtn.png
./MacProtector.app/Contents/Resources/Register-BuyHoverBtn.png
./MacProtector.app/Contents/Resources/Register-BuyPressedBtn.png
./MacProtector.app/Contents/Resources/Register-OkBtn.png
./MacProtector.app/Contents/Resources/Register-OkHoverBtn.png
./MacProtector.app/Contents/Resources/Register-OkPressedBtn.png
./MacProtector.app/Contents/Resources/Register-Pict.png
./MacProtector.app/Contents/Resources/RegisterMBMI.png
./MacProtector.app/Contents/Resources/ResumScanMBMI.png
./MacProtector.app/Contents/Resources/SY-KillBtn.png
./MacProtector.app/Contents/Resources/SY-KillHoverBtn.png
./MacProtector.app/Contents/Resources/SY-RefreshBtn.png
./MacProtector.app/Contents/Resources/SY-RefreshHoverBtn.png
./MacProtector.app/Contents/Resources/Scan-Back.png
./MacProtector.app/Contents/Resources/Scan-PauseScanBtn.png
./MacProtector.app/Contents/Resources/Scan-PauseScanHoverBtn.png
./MacProtector.app/Contents/Resources/Scan-ResumeScanBtn.png
./MacProtector.app/Contents/Resources/Scan-ResumeScanHoverBtn.png
./MacProtector.app/Contents/Resources/Scan-ResumeScanPressedBtn.png
./MacProtector.app/Contents/Resources/Scan-StartScanBtn.png
./MacProtector.app/Contents/Resources/Scan-StartScanHoverBtn.png
./MacProtector.app/Contents/Resources/Scan-StartScanPressedBtn.png
./MacProtector.app/Contents/Resources/Scan-StopScanBtn.png
./MacProtector.app/Contents/Resources/Scan-StopScanHoverBtn.png
./MacProtector.app/Contents/Resources/Scan-StopScanPressed.png
./MacProtector.app/Contents/Resources/ScanD.nib
./MacProtector.app/Contents/Resources/ScanI_1.png
./MacProtector.app/Contents/Resources/ScanI_2.png
./MacProtector.app/Contents/Resources/ScanI_3.png
./MacProtector.app/Contents/Resources/ScanI_4.png
./MacProtector.app/Contents/Resources/ScanMBMI.png
./MacProtector.app/Contents/Resources/ScanNowMBMI.png
./MacProtector.app/Contents/Resources/ScanOk_1.png
./MacProtector.app/Contents/Resources/ScanOk_2.png
./MacProtector.app/Contents/Resources/ScanOk_3.png
./MacProtector.app/Contents/Resources/ScanOk_4.png
./MacProtector.app/Contents/Resources/ScanU_1.png
./MacProtector.app/Contents/Resources/ScanU_2.png
./MacProtector.app/Contents/Resources/ScanU_3.png
./MacProtector.app/Contents/Resources/ScanU_4.png
./MacProtector.app/Contents/Resources/Splash.nib
./MacProtector.app/Contents/Resources/Splash.png
./MacProtector.app/Contents/Resources/StopScanMBMI.png
./MacProtector.app/Contents/Resources/SysInfo-Back2.png
./MacProtector.app/Contents/Resources/SysInfoD.nib
./MacProtector.app/Contents/Resources/SysInfoMBMI.png
./MacProtector.app/Contents/Resources/TB-About.png
./MacProtector.app/Contents/Resources/TB-ControlCenter.png
./MacProtector.app/Contents/Resources/TB-Options.png
./MacProtector.app/Contents/Resources/TB-Scan.png
./MacProtector.app/Contents/Resources/TB-Sysinfo.png
./MacProtector.app/Contents/Resources/Wallet.png
./MacProtector.app/Contents/Resources/affid.txt
./MacProtector.app/Contents/Resources/dribblebeep.wav
./MacProtector.app/Contents/Resources/editclear.png
./MacProtector.app/Contents/Resources/icon.icns
./MacProtector.app/Contents/Resources/ksms.txt
./MacProtector.app/Contents/Resources/orchestral_ta_da_stinger_01.mp3
./MacProtector.app/Contents/Resources/threat.wav