Elke Apple-fanboy zal je vertellen dat Macs dat zijnbeschermd tegen malware, maar het is gewoon niet waar. Onlangs heeft een nep AV-programma zich op OS X-computers in het wild gericht en geïnfecteerd. Hier is een korte blik op hoe het werkt, hoe het te verwijderen, en ook hoe het in de eerste plaats te voorkomen.
Het virus in kwestie is eigenlijk nepantivirus en trojan die een paar verschillende namen heeft. Het kan zichzelf presenteren als Apple Security Center, Apple Web Security, Mac Defender, Mac Protector en mogelijk vele andere namen.
Opmerking: we kwamen deze malware op een handvol gebruikerswerkstations tegen tijdens mijn dagtaak en hebben vervolgens wat tijd besteed aan het analyseren van hoe het werkt. Dit is een echt stukje malware, dat mensen echt infecteert.
Screenshot Rondleiding door een Mac-beschermer Malware-infectie
De infectie komt van een webpagina omleiding die de gebruiker de volgende pagina toont, waardoor het lijkt op een echt pop-upvenster van Mac OS X.
Als de gebruiker op Alles verwijderen klikt, begint hij onmiddellijk met het downloaden van een pakket waarmee het virus wordt geïnstalleerd.
Eenmaal gedownload zal uw computer waarschijnlijkstart automatisch de installatie. Gelukkig moet je voorlopig nog steeds handmatig door het installatieproces lopen. Naarmate er meer kwetsbaarheden worden gevonden, zal dit waarschijnlijk in de toekomst veranderen, net zoals in het verleden voor Windows-gebruikers.
Opmerking: dit werd geïnstalleerd op een volledig gepatchte nieuwe installatie van OS X 10.6.7 met Symantec Endpoint Protection 11.0.6 volledig up-to-date.
Het installatieprogramma wordt gestart en u moet het normale OS X-proces doorlopen. Gebruikers worden tijdens de installatie ook gevraagd om een gebruikersnaam en wachtwoord met beheerdersrechten.
Mogelijk ziet u het nieuwe schildachtige pictogram in de menubalk.
Het programma wordt automatisch uitgevoerd en doet alsof het een soort database laadt voor wat we kunnen aannemen als virusdefinities.
U zult dan worden barraged met meldingen en pop-ups om u te informeren over uw nep-infectie.
Net als nep-antivirusprogramma's op Windows, als u op de opruimknop of op een van de meldingen klikt, krijgt u te horen dat uw software niet is geregistreerd en moet worden betaald.
Als u op de knop Registreren klikt, wordt u om uw creditcardgegevens gevraagd.
Opmerking: vul uw creditcardgegevens niet in, verzend ze niet en typ ze niet in dit venster.
Als u dit venster sluit, wordt u gevraagd uw serienummer in te voeren om door te gaan.
Mac Protector / Defender verwijderen
Als u het virus wilt verwijderen, sluit u alle vensters met de sneltoets Command + Q of klikt u op de rode bol in de linkerbovenhoek.
Blader nu naar uw harde schijf -> Toepassingen -> Hulpprogramma's en open de Activiteitenmonitor. Zoek het MacProtector-proces en klik op afsluiten.
Bevestig de pop-up met de vraag of u zeker weet dat u het proces wilt afsluiten.
Open uw Apple-menu en selecteer systeemvoorkeuren.
Selecteer Accounts in het nieuwe venster.
Als u uw accountinstellingen niet kunt bewerken, klikt u op het slot linksonder in het venster en voert u uw beheerderswachtwoord in.
Selecteer uw gebruiker links en klik vervolgens op het tabblad login-items. Selecteer het item MacProtector en klik vervolgens op de mintoets (-) onder aan het venster.
Sluit de systeemvoorkeuren en ga terug naaruw map Toepassingen. Zoek de MacProtector-applicatie die is geïnstalleerd en sleep deze naar de prullenbak, klik met de rechtermuisknop en ga naar de prullenbak of sleep naar uw favoriete zapper-programma.
Hoe te voorkomen dat het virus wordt verkregen
Er zijn enkele voorzorgsmaatregelen die u kunt nemendit virus krijgen. Gebruik in de eerste plaats uw gezond verstand bij het surfen op internet. Als de website er verdacht uitziet of als de waarschuwingen visachtig lijken, klik er dan niet op.
Er zullen waarschijnlijk ook andere waarschuwingen zijn dat iets een virus kan bevatten. Het virus dat ik bijvoorbeeld kon downloaden, werd later door Google gemarkeerd als schadelijk voor mijn computer.
Als u Safari gebruikt, moet u ook de instelling uitschakelen om automatisch "veilige" bestanden te openen na het downloaden. Ga naar uw Safari-voorkeuren en schakel het selectievakje uit om deze instelling uit te schakelen.
Scan uw downloads ook met een antivirusprogramma. Wanneer het installatiepakket wordt gescand met Symantec Endpoint, wordt het virus onmiddellijk gedetecteerd.
Als u Symantec niet op uw Mac hebt, heeft de Windows-scanner ook definities om dit virus te detecteren.
Ben je in het wild een Mac OS X-malware-infectie tegengekomen? Zorg ervoor dat je dit deelt met je medelezers in de reacties.
