OS X-användare tycker om att göra narr av Windows-användare som de enda som har ett skadligt program. Men det stämmer helt enkelt inte längre, och problemet har ökat dramatiskt de senaste månaderna. Gå med när vi avslöjar sanningen om vad som verkligen händer och förhoppningsvis varnar människor för den överhängande undergången.
Eftersom det faktiskt är Unix under huven, har OS X ett visst skydd mot de värsta typerna av virus. Men problemet idag är inte virus som helt bryter din dator, det är spionprogram, crapware och adware som smyger in på din dator, kapar din webbläsare, infogar annonser och spårar vad du tittar på. Och mycket av det är lagligt, för du blir lurad att klicka på fel under en installatör.
RELATERAD: Download.com och andra buntar Superfish-Style HTTPS Breaking Adware
Och nu hämtar webbplatser, falska annonser för programvara på sökmotorer och skissartade applikationer adware och crapware i installatörer för legitim programvara. Du kan inte bara anta att du är säker längre eftersom du använder OS X. Du måste vara försiktig med vad du laddar ner och vad du klickar på.
Om du inte tycker att det här är en stor sak, tänk igen. Dessa bitar av adware infogar sig direkt i webbläsaren, och de analyserar och körs även på säkra webbplatser som din bank, kreditkortsplats och e-post och skickar tillbaka data till sina servrar. De använder inte en HTTPS-kapningsproxy ändå från vad vi kan berätta under vår forskning, men det är bara en tidsfråga, och de kanske redan gör det och vi har inte hittat beviset ännu.
Eftersom vi i första hand är Mac-användare här på How-To Geek hoppas vi verkligen att Apple tar en annan taktik med detta problem än Microsoft har med Windows och tillåter inte att dessa bluffartister förstör sin plattform.
Medföljande crapware för OS X blir värre varje dag
Det var inte så länge sedan att du kunde installera nästan vad som helst för OS X från nästan vilken webbplats som helst, och du behövde inte oroa dig för vad du klickade på. Det är inte sant längre, och medan saker och ting är bättre än de är i Windows är det bara en tidsfråga vid denna tidpunkt.
RELATERAD: Här är vad som händer när du installerar de 10 bästa Download.com-apparna
Du har fortfarande en säker källa för programvara i Mac App Store, men problemet är att inte alla leverantörer säljer sin programvara via App Store, och många av dem säljer äldre versioner där och har den senaste versionen på sin egen webbplats. Om du håller dig till App Store har du inget att oroa dig för. Vi skulle gärna se att Apple fixade några av App Store-problemen och fick alla att använda det.
Precis som på Windows, du behöver inte leta längre än CNET-nedladdningar för att hitta medföljande crapware ... även för Mac. Det stämmer, de har gått plattform med detta nonsens. Och de har gjort det värre, eftersom du antingen har en Installera-knapp eller en Stäng-knapp. Det finns inte ens en nedgång längre! När du klickar på Stäng stängs installationsprogrammet helt av. Så du har antingen buntad crapware som kapar din webbläsare eller så kan du inte installera den appen.
Den på skärmdumpen installerar Spigot och en massa andra nonsens som omdirigerar din webbläsare till Yahoo, installerar en massa oönskade plugins och generellt får det flygande spaghettimonsteret att gråta. Det är fantastiskt hur mycket pengar Yahoo måste sjunka in i dessa saker för att kapa din webbläsare till deras sökmotor ... när det inte ens är deras. Yahoo Search är egentligen bara en ny version av Bing. Jaja.
Åh min! På nästa skärm tillåter äntligen installationsprogrammet att avvisa något igen! Kanske är saken på skärmdumpen så dålig, även CNET-nedladdningar vill inte tvinga den på dig. Inte ett gott tecken.
Naturligtvis är det inte bara CNET-nedladdningar som gör buntningen - vi hittade ett antal andra appar som distribueras på freeware-nedladdningssidor som gör sin egen buntning. Till exempel YTD det laddar HTTPS-kapning adware för Windows har en Mac-version. Och de buntar också Spigot. Vill du torrent något? Varför hämtar du inte uTorrent från deras webbplats? Verkar som att människor älskar att använda det. Ohhh.
Problemet blir mycket, mycket värre när du försöker söka efter freeware med din favoritsökmotor. Det är värt att notera här det Google har nyligen börjat försöka förbjuda buntad crapware från deras resultat och annonser, men tyvärr har Yahoo och Bing inte samma nivå av fantastiskt. De är faktiskt bara hemska.
Om du är en vanlig, vanlig användare och du söker Yahoo efter "vlc-nedladdning", skulle du få något som ser ut som nästa skärmdump. Och varje sak på sidan är faktiskt en länk till ett medföljande crapware-installationsprogram för VLC, och nästan alla är plattformar och arbetar på OS X. Och texten som säger "annons" är nästan osynlig.
När en intet ont anande användare försöker använda en av dessa installatörer, kommer de att få en skärm som liknar den här ... som installerar InstallMac-hemskheten som kapar allt och lägger till adware i ditt system - det är hemskt. Och naturligtvis försöker nästa skärm få dig att installera något annat som du inte behöver. Och sedan något annat. Det är så mycket crapware.
Vi har hittat mycket mer programvara som serveras på detta sätt, med massor av installatörer från nästan alla buntade crapware-installationsföretag. Här är ett installationsomslag för OpenOffice buntat med en riktigt elak adware som bara tar över din webbläsare. Ja, vi sökte Yahoo igen för OpenOffice och klickade på vad vi faktiskt trodde var den riktiga webbplatsen eftersom deras "annonstext" var så liten att vi inte kunde se skillnaden. Och det här är vad som kom upp.
Det håller på att bli en epidemi för Mac-användare. Så vad har vi att se fram emot?
Adware och malware på OS X är nästan lika hemskt som i Windows
När du lyckas smittas med något kommer det mesta av adware, malware och spionprogram på OS X att försöka infektera din webbläsare på något sätt, kapa din nya flik, söka och hemsidor, injicera annonser på sidor och slumpmässigt poppar upp motbjudande tekniska supportvarningar. Det mesta torkar inte bort hårddisken eller något riktigt hemskt ... men baserat på den ökande sofistikering som vi ser är det bara en tidsfråga.
Många av dessa webbläsarkapare infogar annonser som dyker upp meddelanden som inte kan avvisas oavsett vad du gör, som du kan se på skärmdumpen ovan. Och de kommer slumpmässigt att dyka upp hela tiden medan du surfar, och du måste CMD + Q för att stänga appen helt för att bli av med dem. I grund och botten blir din webbläsare helt värdelös.
Den enklaste adware installerar sig själv i din webbläsare som ett tillägg och återställer alla dina sidor för att gå igenom deras hemska, hemska sökmotor. Och med det menar vi mest Yahoo ... men det finns massor av andra som searchmoose, search-quick och searchbenny som använder sina egna falska sökmotorer. Några av dem kommer att omdirigera dig till Bing, men aldrig direkt. Det är alltid genom en mellanhand som Trovi.
De flesta av de annonser som injiceras kommer att försöka lura dig att installera ännu fler annonser med falska Java-plugin-meddelanden eller meddelanden som säger att du ska installera en codec eller en ny version av Flash. Alla dessa är naturligtvis falska och kommer bara att installera ännu mer crapware och skadlig kod på din dator. Då och då kommer en av dem att försöka servera en bit Windows-adware, men för det mesta är de smarta för att veta att du är en Mac-användare och serverar lämplig crapware.
Mycket av adware kommer att omdirigera din sökmotor till en falsk sökmotor som ser mycket ut som Google eller Bing, men alla resultat är inget annat än annonser.
Och då kommer det slumpmässigt att börja prata med dig. Bokstavligen. Det spelar upp ljudannonser via dina högtalare. Vi hörde en annons för Northrup Grumman. Hur galen är det? (Vi är helt säkra på att de inte vet om detta.)
Vi visade bara upp några av de irriterande adware, men mycket av den medföljande crapware är också ganska elaka saker, och nästan varje enskild crapware-bundler som vi hittade, och nästan varje enskild adware-annons försökte få oss att installera MacKeeper. Vi vet inte mycket om det, även om vi planerar att undersöka hur det fungerar eftersom dessa taktiker är tveksamma.
Den största trenden som vi har märkt i adware är att nästan allt försöker omdirigera din webbläsare och sökmotor till Yahoo. Någon där borta på Yahoo måste få sparken.
Gräva djupare: Hur en del av denna skadliga program egentligen fungerar
Den enkla adware fungerar som de flesta adware gör, genom att installera sig själv i Safaris tillägg, vilket är ganska lätt att avinstallera. Problemet är att endast ett fåtal bitar av adware fungerade på detta sätt i vår forskning.
All kapning av sökmotorer, omdirigering av hemsida och tillägg som injicerar annonser är en sak. Det större problemet är den allvarliga skadliga programvaran, som installerar sig djupt i operativsystemet, och den genomsnittliga personen skulle aldrig kunna ta bort den. Det finns inget avinstallationsprogram, det finns inget startobjekt, det finns inga plugins i din webbläsare, tillägg eller något annat som verkar vara installerat.
Vad det finns är dock riktigt hemska annonser som injiceras i allt du gör, vilket gör din dator långsammare än smuts. Din sökmotor kommer att kapas och det är möjligt att din webbläsare dirigeras via en proxy. Det här är direkt skadlig kod, det är inte bara adware längre, även om du av misstag glömde att avmarkera en ruta någonstans. Det fungerar på samma sätt som Trovi-skadlig kod gör det på Windows , genom att injicera sig själv i processer.
Dessa mer allvarliga bitar av skadlig kod installerar sig som en demon eller tjänst som körs i bakgrunden och bakom kulisserna. Du hittar dessa saker i mappen / Library / LaunchAgents eller / Library / LaunchDaemons, som kommer att ha några riktigt konstiga objekt som bara inte hör hemma. Den här mappen kan också användas för riktiga saker från riktiga applikationer, så rensa inte den här mappen helt eller ingenting.
En granskning av plist-filen visar var den faktiska skadliga programvaran finns, som vanligtvis finns i en helt separat mapp.
När du går in i den mappen och undersöker filen Version.plist får du lite mer information om vad som faktiskt händer. Den här saken heter Search-Quick och den stöder kapning av Chrome och Safari, liksom Webkit nattlig byggnad av någon anledning.
Undersökningen kommer vidare med något nyfiken ... personen som skrev detta skadliga program vill tacka sin mamma speciellt.
När skadlig programvara lanseras av OS X som en demon använder den sedan en lite känd funktionalitet i OS X som gör att en process kan injicera sig själv i en annan process. Du kan se hur det fungerar genom att öppna en terminal och köra agenten körbar direkt. Vad som faktiskt händer är att den kommer att fästa sig i din webbläsare och ladda sig själv som ett dolt tillägg. I skärmdumpen nedan kan du se att den aktiverades för process-ID 544, som var Google Chrome. Det gör samma sak med Safari om det är öppet.
Detta innebär att adware eller skadlig kod körs inuti i din webbläsare och injicerar sig själv på varje sida du besöker. Det spelar ingen roll om du besöker en säker banksida eller inte, de är redan inne. En av biverkningarna av detta skadliga program är att hela din dator kommer att vara extremt långsam, hela tiden, oavsett vad du gör.
För några tips om hur du tar bort adware och skadlig kod i OS X kan du läs Apples supportdokument eller vänta bara på våra kommande artiklar om ämnet. Vi kommer att forska mycket mer på alla dessa saker.
Så vad betyder allt detta, och hur skyddar du dig själv?
Även om vi har visat att skadlig kod, adware, crapware och spyware blir allt värre på OS X, betyder det inte att du nödvändigtvis behöver oroa dig eller gå ut och installera Linux eller göra något drastiskt. OS X riktas fortfarande inte lika mycket som Windows är, och det finns fortfarande några säkerhetsåtgärder på plats som gör det svårare för skadlig kod att komma igenom.
Det säkraste du kan göra är att använda Mac App Store för att installera dina applikationer när det är möjligt. Dessa applikationer har verifierats av Apple och bör vara bra att använda och kommer definitivt inte med någon medföljande crapware eller adware.
Begränsa appar som inte kommer från App Store
Detta kommer inte att lösa problemet helt, men du kan konfigurera OS X för att automatiskt begränsa alla körbara filer som inte kommer från App Store. Detta gäller inte applikationer som redan är installerade på din dator, oavsett var de kommer ifrån. Det kommer helt enkelt att gälla för nya nedladdningar.
Gå till Systeminställningar -> Säkerhet och sekretess, klicka på låsikonen längst ner och vänd sedan inställningen till Mac App Store istället för standard.
När du har gjort detta kommer ett blockmeddelande automatiskt att visas när du försöker köra allt som inte finns i App Store. Du kan välja att fortfarande öppna den om du högerklickar och väljer Öppna och sedan väljer Öppna igen, men som standard är allt blockerat.
Detta löser inte problemet med applikationer som du do vill installera med buntad crapware som kräver bortval som standard. Men det är en fantastisk säkerhetsinställning för dina släktingar.
När du behöver installera ett program från någon annanstans, se till att det verkligen är en pålitlig källa och inte en falsk webbplats som serverar freeware med öppen källkod med ett paket med bundleware.
RELATERAD: Oracle kan inte säkra Java-plugin-programmet, så varför är det fortfarande aktiverat som standard?
Du bör också överväga att inaktivera dina webbläsarinsticksprogram - för Chrome och Firefox, det är ganska enkelt , för Safari är det en lite mer komplicerat . Det största du kan göra är inaktivera ditt Java-plugin , eftersom det är ganska sällsynt att du behöver det, och därför Java var ansvarig för 91% av attackerna 2013 . Detta minskar sannolikheten för riktas mot en nolldagarsattack .
Det kan till och med vara dags att börja överväga ett antivirusprogram för OS X, åtminstone om du vill installera mycket programvara från källor utanför App Store. Om du inte gör det är det förmodligen inte riktigt lika stort, men vi närmar oss punkten där det kommer att behövas. Vad vi inte är säkra på ännu är vad antivirus för Mac som till och med är värdefullt och blockerar den här typen av saker - på Windows blockerar de flesta antivirusprogram inte buntad crapware och adware alls, för de är lagliga eftersom du var tvungen att komma överens under installationsprocessen. Så betal inte bara för något antivirus just nu. Tänk bara på det för framtiden.
Förutom det, var bara försiktig med vad du klickar på och lita inte på felmeddelanden som dyker upp i webbläsarfönstret. Om du ser något som säger att din dator är infekterad och dyker upp ett meddelande, håll ner den CMD + Q genvägskombinationen för att stänga av allt omedelbart.
Det finns ingen bättre tid för Windows-användare att byta till Mac. Med så mycket crapware och adware som utvecklas kommer de att känna sig riktigt hemma! (Vi skojar naturligtvis.)
