多年来,假防病毒软件 FAKEAV 变种一直是 Windows 平台的困扰。但最近,该恶意软件也开始转战 Mac OS X 平台。就像 Windows 平台的假防病毒软件 FAKEAV 变种一样, Mac 平台的假防病毒软件最常利用的感染途径同样也是毒化的搜索引擎关键词。
作者: Joey Costoya ( 趋势科技 资深威胁研究员)
举例来说,以下就是一个遭到毒化的搜索结果:
如果在 Mac 计算机上点选该链接,用户将被连到下列网页:
单击上图中的 OK 按钮,就会出现一个看似在帮系统扫瞄病毒的界面。
假的病毒扫瞄操作结束之后,就会显示用户的 Mac 计算机遭到哪些病毒感染。
您或许已经注意到,这个界面与 Mac OS X Finder 程序长得非常神似,而 Windows 版的假防病毒软件 FAKEAV 所显示的扫瞄界面也长得很像 Windows 资源管理器。
无论是单击 Remove all ( 全部移除)或该网页的任何一部分,都会进一步下载 anti-malware.zip 文件。这个 .ZIP 文件内含一个安装程序文件( .pkg ),一旦执行,就会在系统的 Applications (应用程序)文件夹中安装并启动一个文件下载程序。这个下载程序最终将下载 FAKEAV 应用程序本尊。
假防病毒软件所做的第一件事就是显示下列加载画面:
接着,假防病毒软件 FAKEAV 应用程序会显示下列界面来吓唬用户:
Object/File (感染的对象 / 文件)一栏显示的是“ [ ” ,而且 Trojan (木马程序)这个字也拼错了。不过,画面右上角的红色警告信息看起来还挺吓人的,所以或许还可以骗过别人。
一旦用户因为慌张而按下 Cleanup (清除)按钮, FAKEAV 应用程序就会提醒用户,目前的版本是“未注册版本”。
单击 Register (注册)按钮就会显示一个可以让用户输入序号的画面。
为了方便没有序号的用户,旁边还有一个 Buy (购买)按钮,做得真是唯妙唯肖。点一下这个按钮就会出现下列购买页面:
这个页面还列出了几种软件授权选项,而且“终生授权”的价格还真的是超级诱人!最重要的是,这一页会要求用户输入信用卡信息。
还有什么比让用户自己输入信用卡数据更容易盗用您信用卡的方法。只要是用户在这个界面上输入的信用卡数据,就等于将这些信息双手奉上交给歹徒。而一旦交出信用卡数据,信用卡遭到盗刷将是迟早的事。更悲惨的是,用户根本没买到任何防病毒软件,因为这些正是所谓的假防病毒软件恶意软件变种。
@原文来源: A Walk-Through of a FAKEAV Infection in Mac OS X
本文版权为 趋势科技 所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区 -- 下载,论坛,分享 http://www.iqushi.com
官方微博—拿礼品,分享最新 IT 资讯 http://t.sina.com.cn/trendcloud
趋势科技 CEO :陈怡桦 EvaChen 的微博 http://weibo.com/evatrendmicro
