一家安全公司今天证实,该团伙已经更新了他们的“恐吓软件”,以逃避苹果公司在周二晚些时候设置的防御措施。
“苹果的杀毒软件没有检测到新的样本,”一家开发Mac安全软件的法国公司Intego的发言人彼得·詹姆斯(Peter James)说。
据詹姆斯称,新的恶意软件文件被识别为“mdinstall”。如果安装了,就在受害者的电脑上植入假的MacGuard软件。
Intego证实了ZDNet博主Ed Bott周三早些时候的报道称,骗子已经创建了一个新版本,苹果的新防御系统没有检测到。
“这并不奇怪,苹果在周二发布了安全更新后,马上就推出了新的版本,”詹姆斯说。“(攻击者)紧跟新闻,他们很有效率。”
周二,苹果发布了更新它会警告用户,他们下载了假冒的Mac安全软件,并清除已经感染了该恐吓软件的机器。
scareware也被称为rogueware,它是一种虚假的安全软件,声称电脑受到蠕虫、病毒和其他恶意软件的严重感染。一旦安装,这个毫无价值的程序就会到处弹出窗口和假警报来骚扰用户,直到他们支付费用。MacDefender是针对mac电脑的新系列产品的通用名称,它要求用户支付60至80美元才能停止使用。
Intego首先报道了MacDefender但从那以后出现了几个变种,包括不需要密码就能安装的MacGuard。
詹姆斯表示,新的MacDefender在苹果昨天发布更新数小时后就出现了。
詹姆斯预言道:“他们会继续这样做。”他指的是MacDefender的开发者和苹果阻止他们的努力之间的猫捉老鼠游戏。
“这种方法很有效,他们可以从中赚钱,否则他们就不会这么做了。在更新后马上推出新版本,并且在苹果宣布将发布更新后立即推出新版本,这表明他们计划保持领先地位,”詹姆斯说。
这一举动不会让其他研究人员感到意外。
在周二的采访中,英国Sophos公司的安全研究员切特·威斯涅夫斯基说,苹果的升级要么会加速竞争,要么黑客就会放弃。
Wisniewski表示:“如果他们继续使用MacDefender,就意味着他们在赚钱方面取得了成功。“如果苹果能够在90%或更多的时间里阻止MacDefender,这是否意味着坏人会放弃或放弃赌注?”
似乎他们做了后者,在詹姆斯看来,这并不难。
“苹果的防御是基于签名的,”詹姆斯说,他指的是依靠每一个恶意软件的个人“指纹”进行检测的反病毒策略。“新变种的代码部分是相同的,但部分是不同的。”
它的不同之处足以让苹果的MacDefender识别不出新版本。
詹姆斯在介绍Intego公司的杀毒软件VirusBarrier X6时说:“这就是为什么你需要不基于单一方法的检测。”与大多数安全软件一样,这款杀毒软件使用通用签名,能够检测出恶意软件代码的微小变化,而不需要新的指纹。
苹果周二向雪豹用户推送的更新还增加了操作系统检查新定义的频率:默认情况下,Mac OS X 10.6现在每天都会寻找新的恶意软件签名。
詹姆斯说,苹果公司对新款MacDefender的反应有多快,将显示出该公司消灭恐吓软件的决心。
“我们不知道苹果会有多大反应,”詹姆斯说。“这将是真正的试金石....苹果给雪豹更新一个新签名需要多长时间?”
最新版本发布的时机表明,微软此前已经有关MacDefender与一个负责快速传播的Windows假反病毒骗局的组织的合作,是正确的。微软指出,有证据表明该团伙总部位于俄罗斯。
“这表明他们不在美国,”詹姆斯说。他指出,苹果在美国东部时间周二下午6点左右更新了雪豹,也就是在Intego总部所在地法国的午夜,以及周三凌晨2点左右在莫斯科更新。
“他们将有一整天的时间来完成这个任务,”詹姆斯在谈到莫斯科时间今天傍晚出现的新版本时说。“它们在大西洋的这一边更有道理。”
苹果的更新只提供给使用雪豹的用户;装有旧版本Mac OS X 10.5 (Leopard)的Mac电脑将不会受到同样的反macdefender保护。
根据网络指标公司Net Applications的数据,近三分之一的Mac用户(确切地说是31%)运行的是雪豹以外的Mac OS版本。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“Mac恐吓软件团伙逃避苹果新的反恶意软件防御”最初发表于《计算机世界》 .