Mac-scareware installeert zonder wachtwoord

Door: | 26 mei 2011 14:05

Apple

De nieuwste versie van porno-scareware MacDefender is ook te installeren zonder wachtwoord in te voeren. Deze versie verscheen gisteren, toen Apple met een mededeling over de besmettingen kwam.

Er is een nieuwe variant van de beruchte scareware MacDefender in het wild verschenen. Om deze versie op een computer te installeren hoeft een gebruiker niet meer, zoals voorheen, een wachtwoord op te geven. MacGuard, zoals de nieuwe versie gedoopt is verscheen voor het eerst direct na een statement van Apple over de scareware.

Reactie op Apple

Volgens Peter James van beveiligingssoftwarefabrikant Intego, lijkt de release daarmee een reactie op Apples ondersteuningsdocument. Apple gaf gisteren voor het eerst aan dat MacDefender een groot probleem was en publiceerde een document waarin stond hoe de scareware kan worden verwijderd. Ook brengt het bedrijf een update voor Mac OS X uit die de software tegenhoudt.

De nieuwe variant bestaat uit een tweetrapssysteem dat de software installeert. Het eerste gedeelte is een kleine downloader met de naam ‘avRunner’. Die software is verpakt in een Zip-archief en wordt automatisch geopend wanneer iemand een besmette website bezoekt en de optie ‘Veilige bestanden openen na downloaden’ in Safari heeft ingeschakeld.

Op oké drukken is voldoende

Voor het installeren van avRunner krijgt de gebruiker nog wel een installatiescherm te zien waarin hij enkele keren op oké moet drukken. Het invoeren van een wachtwoord is echter niet meer nodig. Dat wordt omzeild doordat avRunner zijn bestanden automatisch in de directory ‘Programma’s’ (Applications) plaatst. Dat kan overigens alleen als een gebruiker administrator is, anderen hebben daar geen schrijfrechten.

Is avRunner eenmaal geïnstalleerd, dan downloadt en installeert deze applicatie MacGuard zodra de gebruiker een gehackte site bezoekt. Zonder avRunner werkt dat niet.

Porno pop-ups

De scareware MacDefender dook begin mei voor het eerst op. Voor die software moest de gebruiker tijdens de installatie nog een wachtwoord opgeven. De scareware kenmerkte zich door een agressieve verkoopstijl, gebruikers die niet betaalden voor de valse beveiligingssoftware kregen bijvoorbeeld porno pop-ups te zien.

Apple hield zich tijdens deze aanval stil en zou medewerkers geadviseerd hebben om te bevestigen noch ontkennen dat er malware was. Zij mochten klanten ook niet helpen om de malware te verwijderen, verwijzen naar antivirussoftware in de App Store was voldoende volgens Apple. Het bedrijf heeft gisteren wel bevestigd dat de scareware bestaat en een uitleg geplaatst over hoe die te verwijderen.