PCVark播放脏 - Malwareb必威平台APP必威官方登录备用ytes Labs |必威平台APP必威官方登录备用Malwarebytes Labs.

发布：2016年8月19日经过托马斯里德
最近更新时间：2016年12月19日

最近，JérômeSegura.将我转发到假病毒诈骗页的链接，似乎与MAC相关。我开始调查它，很快就会发现自己在Mac Crapware的深兔洞中，所有来自Mac Pups（潜在不需要的程序），PCVark的主要开发人员。

PCVark负责GEMS，如高级MAC清洁剂，MAC广告软件清洁器等。虽然我可以长期以来，关于这些产品行为以及为什么我们将它们视为幼崽，即在此旁边。因为在这个兔子里面奠定了一个特殊的块......嗯，不是金。这是我们今天的重点是奇怪的和恶意的应用程序。

它在这里播放在官方高级Mac清理程序网站上的骗局页面上：

AMC病毒诈骗

如果我谨慎，我就会立即关闭这个页面，而不是做任何事情。但是，当然，我决心不成为，所以我点击了绿色按钮来安装“安全更新”。

这导致正在下载名为“amc_rb_mfm1.pkg”的安装程序文件，我继续打开。它看起来像一个普通的高级Mac Cleaner安装程序......这不是说它看起来像我想要的东西，但仍然决心做错了什么，所以我点击了它并安装了它。

一旦我安装了它并且正在展示它是为了看看它是否已经安装了任何新的东西 - 也许是一个闪亮的新的广告软件，例如 - 我发现了一个名为Mac文件开端的奇怪的应用程序，塞住了普通用户永远不会看到它的地方。甚至更加有趣，此应用程序没有任何明显的启动机制。它尚未添加到我的登录项中。没有旨在加载它的新发射代理或守护进程。它似乎只是坐在那里，无所事事。

这激起了我的好奇心，所以我更深刻地戳了一点点，发现了一些非常有趣的东西。在所有Mac应用程序中，有一个名为Info.Plist的文件，它定义了应用程序的许多特征。文件所做的一个内容允许开发人员识别应用程序能够使用的数据阵列来识别应用程序能够打开的文件类型，这是一个定义所有文件类型的键“CFbundledocumentTypes”的数据阵列。

事实证明，Mac文件开端程序定义了232种不同文件类型的列表，覆盖所有常见的文件类型和许多并不是那么常见的文件类型：

CFBundleDocumentTypes  CFBundleTypeExtensions  7z  CFBundleTypeName DocumentType   CFBundleTypeRole Viewer LSHandlerRank Alternate NSDocumentClass Document …

基本上，这个应用程序所做的事情是自身设置为一个应用程序，可以打开大多数文件的应用程序，这可能在典型的用户系统上。更糟糕的是，如果没有其他应用程序要打开特定文件，则此应用将是默认值。事实证明，这正是该应用程序想要的，它充分利用了这一事实。

例如，朋友向您发送了由三维建模软件素描创建的文件，但实际上您的计算机上实际上并不是素描。通常，当您双击这样的文件时，Apple非常有用，并向您展示类似的内容：

没有文件的应用程序 - Apple

这允许您选择一个应用程序，以便在您喜欢或搜索Mac App Store以查找可以打开它的应用程序。

但是，使用Mac文件开关当前，双击SketchUp文件将介绍以下消息：

没有文件的文件 - mfo

这是因为当您打开文件时，它实际上打开Mac文件开端应用程序，该应用程序显示一个对话框以模仿真实的东西。（虽然这是一种相当愉快的努力，如果你仔细观察。差异可能是轻微的，但对于熟悉Apple的人类界面指南的人来说，这个窗口中的所有错误都伤害了眼睛。）

在这种情况下，选择应用程序的选项不可用，可能是因为它会带走骗局。搜索App Store按钮已替换为搜索Web按钮。单击该按钮将您带到MacFileopener [Dot] COM网站上的诈骗页：

MFO诈骗页面

此页面表明“错误”可能是由恶意软件引起的，并提供软件“运行自由扫描”系统。

在某些情况下，页面将有点咄咄逼人，并将显示这样的内容：

MFO Scam Page 2

在任何一种情况下，这些页面都将下载其他垃圾PCVark应用程序，例如Mac Adware卸载或Mac空间Reviver。

有趣的是关于Mac文件开端者的有趣事情是它似乎不实际由PCVark进行。高级Mac清洁剂和其他PCVark产品，是使用属于“PCVark Software Private Limited”的证书签名的代码，而Mac文件开端者证书属于“Techyutils Software Limited”。

由于这可能导致Techyutils和PCVark实际相关的问题，或者如果Techyutils为自己的目的劫持了一个高级Mac清洁安装程序，我开始做一点研究。在表面上，有许多肤浅的相似之处 - 文件命名约定，图标的相似性，Mac文件开端网站上的PCVark的引用等等，这些都是可以伪造的东西暗示一种不存在的关系。

我查看了Advanced Mac Cleaner和Mac文件开关的代码，并没有找到太多相似之处。但是，我意识到我有一个不同的小狗的副本，也由同一Techyutils证书签名，称为Mac Optimizer。检查Mac Optimizer的应用程序代码（来自Techyutils）和Advanced Mac Cleaner（来自PCVark）并排显示它们在大多数情况下它们几乎相同。

因此，两个可能不同的应用程序，来自可能不同的公司，却共享相同的代码(以及几乎相同的用户界面)。更令人信服的是，这些代码是由苹果提供的官方证书签名的，这些证书由每个“公司”拥有。这提供了最后的链接，证明PCVARK和Techyutils实际上是一个和一样的，并且Mac文件开瓶器实际上是PCVARK的产品。

我们将Mac文件开端程序视为恶意软件，并且Malwarytes for Mac的防恶意软件将被必威平台APP视为OSX.FakeFileopener。此处提到的所有其他PCVark和Techyutils产品被检测为幼崽。

（更新：Virustotal上的MAC文件Opener App的SHA256哈希值是E7AF2BD1EA722A1FC6F80135340665509135B35509135B35051827FD55B3。）