假冒杀毒软件在Mac OSX上的感染过程

362017mo64

多年来，假防病毒软件FAKEAV变种一直是Windows平台的困扰。但最近，该恶意软件也开始转战Mac OS X平台。就像Windows平台的假防病毒软件FAKEAV变种一样，Mac平台的假防病毒软件最常利用的感染途径同样也是毒化的搜索引擎关键词。
作者：Joey Costoya （趋势科技资深威胁研究员）
举例来说，以下就是一个遭到毒化的搜索结果：



如果在Mac计算机上点选该链接，用户将被连到下列网页：



单击上图中的OK按钮，就会出现一个看似在帮系统扫瞄病毒的界面。




假的病毒扫瞄操作结束之后，就会显示用户的Mac计算机遭到哪些病毒感染。


您或许已经注意到，这个界面与Mac OS X Finder程序长得非常神似，而Windows版的假防病毒软件FAKEAV所显示的扫瞄界面也长得很像Windows资源管理器。
无论是单击Remove all（全部移除）或该网页的任何一部分，都会进一步下载anti-malware.zip文件。这个.ZIP文件内含一个安装程序文件（.pkg），一旦执行，就会在系统的Applications（应用程序）文件夹中安装并启动一个文件下载程序。这个下载程序最终将下载FAKEAV应用程序本尊。
假防病毒软件所做的第一件事就是显示下列加载画面：


接着，假防病毒软件FAKEAV应用程序会显示下列界面来吓唬用户：


Object/File（感染的对象/文件）一栏显示的是“[”，而且Trojan（木马程序）这个字也拼错了。不过，画面右上角的红色警告信息看起来还挺吓人的，所以或许还可以骗过别人。
一旦用户因为慌张而按下Cleanup（清除）按钮，FAKEAV应用程序就会提醒用户，目前的版本是“未注册版本”。



单击Register（注册）按钮就会显示一个可以让用户输入序号的画面。

为了方便没有序号的用户，旁边还有一个Buy（购买）按钮，做得真是唯妙唯肖。点一下这个按钮就会出现下列购买页面：




这个页面还列出了几种软件授权选项，而且“终生授权”的价格还真的是超级诱人！最重要的是，这一页会要求用户输入信用卡信息。
还有什么比让用户自己输入信用卡数据更容易盗用您信用卡的方法。只要是用户在这个界面上输入的信用卡数据，就等于将这些信息双手奉上交给歹徒。而一旦交出信用卡数据，信用卡遭到盗刷将是迟早的事。更悲惨的是，用户根本没买到任何防病毒软件，因为这些正是所谓的假防病毒软件恶意软件变种。
＠原文来源：A Walk-Through of a FAKEAV Infection in Mac OS X
本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！
爱趋势社区--下载，论坛，分享http://www.iqushi.com
官方微博—拿礼品，分享最新IT资讯http://t.sina.com.cn/trendcloud
趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro