MPlayerX大约在两年前开始与恶意软件联系在一起,甚至可能更久。早在2014年,一款名为VSearch的新兴广告软件很快就超越了恶意行为的界限,它经常与MPlayerX安装程序联系在一起。当时,许多人认为MPlayerX的使用方式和Adobe Flash Player通常是一样的——一种用来欺骗人们运行可疑安装程序的无害软件。
MPlayerX开始成为VSearch广告软件的代名词,谷歌搜索“MPlayerX”开始显示“移除MPlayerX”的显著搜索结果。更糟糕的是,最终很明显,MPlayerX不仅仅是一个无辜的受害者。
2015年初,MPlayerX不再与VSearch一起发行。不幸的是,这并不是什么好消息,因为人们很快发现,直接从MPlayerX网站下载的官方MPlayerX安装程序已经开始包含IronCore广告软件。
然而,不良行为并没有到此为止。官方MPlayerX安装程序开始试图违抗分析!
恶意软件将经常表现出分析回避行为。这意味着,如果它感觉自己正在被安全研究人员或自动安全软件分析,它将采取无辜的行为,不显示其恶意行为。因此,如果研究人员或工具不知道该程序是恶意的,它可以避免发送任何危险信号,从而引发更彻底的分析。
恶意软件使用的最常见的分析规避方法是检测它是否在虚拟机中运行——换句话说,一个完整的系统完全在一个软件中运行。例如,研究人员可以在一个由Parallels、VMWare或VirtualBox等程序运行的虚拟机中安装Mac OS X。使用虚拟机是一种将恶意软件与真实系统隔离开来的好方法,从而更容易控制感染。
事实证明,MPlayerX安装程序正是这样做的。在虚拟机中运行时,它只安装了MPlayerX。然而,当在“真实”系统上打开时,它会安装IronCore广告软件,以及(当时的)垃圾应用MacKeeper和ZipCloud。
最近,我们决定重新评估MPlayerX是否可能被检测为PUP(可能不需要的程序)。可以肯定的是,尽管安装程序已经更新,但它仍然显示出相同的分析回避行为,这次安装的是IronCore、MacKeeper和MegaBackup。
以下视频显示MPlayerX安装程序从官方MPlayerX网站下载并安装了两次。第一次,它安装在运行Mac OS X 10.11 (El Capitan)的Parallels Virtual Machine上,除了MPlayerX什么都没安装。(或者,更准确地说,安装一个MPlayerX安装程序,您仍然需要运行它来安装MPlayerX…)
第二次显示了相同的过程,在同一个虚拟机中——对虚拟机进行了一些修改,以击败MPlayerX用于检测它的技术。因此,在第二种情况下,MPlayerX无法检测到它在虚拟机上运行,并认为它在一个真实的系统上,此时它会转储它的垃圾负载。
将MPlayerX捆绑到广告软件安装程序中,与广告软件和其他PUP一起,有足够的理由认为它是PUP小狗的标准.添加了类似恶意软件的分析回避行为,使得将MPlayerX称为PUP的决定变得显而易见。
此外,因为我们认为这种恶意软件的行为表明MPlayerX的开发者是不值得信任的,所以我们检测到Mac App Store版本的MPlayerX也是一个PUP。必威平台APP伪反恶意软件的苹果检测任何版本的MPlayerX为PUP.MPlayerX。
更新(2019-09-18):虽然我们仍然不建议信任任何使用上面描述的安装程序的人的软件,但我们不再检测MPlayerX本身。然而,我们仍然通过App block功能阻止MPlayerX安装程序的启动,因为它的行为仍然像描述的那样,你真的不想运行它。如果你觉得你必须使用MPlayerX,而不是其他替代方法(如VLC),那就从App Store中获取它。
评论