多年來，假防病毒軟件 FAKEAV 變種一直是 Windows 平臺的困擾。但最近，該惡意軟件也開始轉(zhuǎn)戰(zhàn) Mac OS X 平臺。就像 Windows 平臺的假防病毒軟件 FAKEAV 變種一樣， Mac 平臺的假防病毒軟件最常利用的感染途徑同樣也是毒化的搜索引擎關鍵詞。

作者： Joey Costoya （ 趨勢科技 資深威脅研究員）

舉例來說，以下就是一個遭到毒化的搜索結果：

如果在 Mac 計算機上點選該鏈接，用戶將被連到下列網(wǎng)頁：

單擊上圖中的 OK 按鈕，就會出現(xiàn)一個看似在幫系統(tǒng)掃瞄病毒的界面。

假的病毒掃瞄操作結束之后，就會顯示用戶的 Mac 計算機遭到哪些病毒感染。

您或許已經(jīng)注意到，這個界面與 Mac OS X Finder 程序長得非常神似，而 Windows 版的假防病毒軟件 FAKEAV 所顯示的掃瞄界面也長得很像 Windows 資源管理器。

無論是單擊 Remove all （ 全部移除）或該網(wǎng)頁的任何一部分，都會進一步下載 anti-malware.zip 文件。這個 .ZIP 文件內(nèi)含一個安裝程序文件（ .pkg ），一旦執(zhí)行，就會在系統(tǒng)的 Applications （應用程序）文件夾中安裝并啟動一個文件下載程序。這個下載程序最終將下載 FAKEAV 應用程序本尊。

假防病毒軟件所做的第一件事就是顯示下列加載畫面：

接著，假防病毒軟件 FAKEAV 應用程序會顯示下列界面來嚇唬用戶：

Object/File （感染的對象 / 文件）一欄顯示的是“ [ ” ，而且 Trojan （木馬程序）這個字也拼錯了。不過，畫面右上角的紅色警告信息看起來還挺嚇人的，所以或許還可以騙過別人。

一旦用戶因為慌張而按下 Cleanup （清除）按鈕， FAKEAV 應用程序就會提醒用戶，目前的版本是“未注冊版本”。

單擊 Register （注冊）按鈕就會顯示一個可以讓用戶輸入序號的畫面。

為了方便沒有序號的用戶，旁邊還有一個 Buy （購買）按鈕，做得真是唯妙唯肖。點一下這個按鈕就會出現(xiàn)下列購買頁面：

這個頁面還列出了幾種軟件授權選項，而且“終生授權”的價格還真的是超級誘人！最重要的是，這一頁會要求用戶輸入信用卡信息。

還有什么比讓用戶自己輸入信用卡數(shù)據(jù)更容易盜用您信用卡的方法。只要是用戶在這個界面上輸入的信用卡數(shù)據(jù)，就等于將這些信息雙手奉上交給歹徒。而一旦交出信用卡數(shù)據(jù)，信用卡遭到盜刷將是遲早的事。更悲慘的是，用戶根本沒買到任何防病毒軟件，因為這些正是所謂的假防病毒軟件惡意軟件變種。

＠原文來源： A Walk-Through of a FAKEAV Infection in Mac OS X

本文版權為 趨勢科技 所有，對于非贏利網(wǎng)站或媒體轉(zhuǎn)載請注明作者以及原文鏈接。謝謝合作！

愛趨勢社區(qū) -- 下載，論壇，分享 http://www.iqushi.com

官方微博—拿禮品，分享最新 IT 資訊 http://t.sina.com.cn/trendcloud

趨勢科技 CEO ：陳怡樺 EvaChen 的微博 http://weibo.com/evatrendmicro

假冒殺毒軟件在Mac OSX上的感染過程