Кошки-мышки со «снежным барсом»

Появление нового варианта лжеантивируса для Mac OS X вынудило Apple ускорить выпуск обновления безопасности для этой операционной системы. Вирусописатели не замедлили сделать ответный ход, и вендору пришлось в срочном порядке добавлять еще одну сигнатуру в антивирусную базу XProtect.

Почти месяц Apple упорно игнорировала нашествие одиозных подделок, которые выманивали деньги у маководов за лечение мифических угроз, якобы обнаруженных в их системах. К концу мая служба техподдержки компании опубликовала инструкцию по ручному удалению MacDefender, MacProtector и MacSecurity, пообещав в скором времени выпустить защитное обновление.

Создатели лжеантивируса тут же внесли коррективы в свое детище, снабдив его компонентом с функциями даунлоудера. Как и его предшественники, вариант MacGuard использует для запуска дефолтные настройки Safari («открывать безопасные файлы после загрузки»), но не требует введения пароля администратора для своей установки.

Долгожданный Security Update 2011-003 появился лишь 31 мая, однако воспользоваться механизмом проверки на наличие новых детектов смогли лишь пользователи Mac OS X 10.6 Snow Leopard (в переводе «снежный барс»). Отныне XProtect раз в сутки проводит поиск обновлений и по умолчанию делает это в автоматическом режиме.

Однако противник Apple, похоже, не намерен сдаваться без боя. Через несколько часов после выпуска апдейта появляется новый зловредный файл ― mdinstall.pkg, который с успехом обходит новую защиту «барса». Разработчикам ничего другого не остается, как возможно скорее внести соответствующие изменения в базу XProtect и с тревогой ждать продолжения банкета.

Кто стоит за всей этой игрой в перетягивание каната? Microsoft предполагает, что ее затеяли российские авторы аналогичных продуктов для платформ Windows. Эксперты идентифицируют эту группировку как создателей семейства лжеантивирусов Winwebsec. Небезызвестный Брайан Кребс приводит косвенные доказательства причастности ChronoPay, неоднократно уличенной в покровительстве этой cоставляющей теневого бизнеса. Весьма вероятно, что распространением новой напасти занимается одна из «партнерок», никогда не упускающих случай получить свой кусок пирога, если предприятие сулит большие дивиденды.