OS X用户喜欢取笑Windows用户是唯一存在恶意软件问题的用户，但现在根本不是这样了，而且问题在过去几个月里急剧增加。加入我们的行列，揭开真相，希望能警告人们即将到来的厄运。

因为它实际上是Unix的幕后黑手，所以OSX对最坏类型的病毒有一些天然的保护。但现在的问题不是病毒完全破坏了你的电脑，而是间谍软件、垃圾软件和广告软件潜入你的电脑，劫持你的浏览器，插入广告，跟踪你正在看的东西。而且大部分都是合法的，因为你在安装过程中被骗点击了错误的东西。

相关：Download.com和其他捆绑SuPerfish风格的HTTPS Breaking广告软件

现在下载网站，搜索引擎上的虚假软件广告，以及粗略的应用程序都在将广告软件和垃圾软件捆绑到合法软件的安装程序中。你不能因为你在OSX上就假设你是安全的，你需要小心你下载的东西和点击的东西。

如果你认为这没什么大不了的，那就再想一想。这些广告软件直接将自己插入浏览器，甚至可以在银行、信用卡网站和电子邮件等安全站点上分析和运行，将数据发送回它们的服务器。从我们在研究期间可以看出的情况来看，他们还没有使用HTTPS劫持代理，但这只是一个时间问题，他们可能已经在这样做了，我们还没有找到证据。

由于我们在How-to Geek上主要是Mac用户，我们真的希望苹果在这个问题上采取与微软对Windows不同的策略，不要让这些诈骗艺术家破坏他们的平台。

OS X的捆绑垃圾软件一天比一天糟糕

就在不久之前，你几乎可以从任何网站为OSX安装几乎任何东西，而且你真的不必担心你点击了什么。现在不再是这样了，虽然情况比Windows更好，但这只是个时间问题。

相关：以下是当您安装排名前10的Download.com应用程序时会发生的情况

你在Mac App Store上仍然有一个安全的软件来源，但问题是，并不是所有的供应商都通过App Store销售他们的软件，而且他们中的许多人都在那里销售较旧的版本，并在自己的网站上有最新版本。如果你坚持使用App Store，你就没有什么可担心的了。我们希望看到苹果解决一些App Store的问题，并让每个人都能使用它。

就像在windows上一样，你不需要比cnet下载更远的地方就能找到捆绑的crapware…。即使对麦克来说也是如此。没错，他们已经用这种胡言乱语跨平台了。它们让情况变得更糟，因为你要么有一个安装按钮，要么有一个关闭按钮。甚至不再下降了！单击“关闭”时，安装程序将完全关闭。因此，你要么捆绑了劫持浏览器的垃圾软件，要么无法安装该应用程序。

截图中的那个安装了水龙头和其他一堆将你的浏览器重定向到雅虎的废话，安装了一堆不需要的插件，通常会让飞行中的意大利面条怪物哭泣。“雅虎肯定投入了多少钱才能将你的浏览器劫持到他们的搜索引擎…上，这真是令人惊讶。当它甚至不是他们的时候。雅虎搜索实际上只是必应的更新版。哦，好吧。

哦天啊!。在下一个屏幕上，安装程序终于允许您再次拒绝某些内容！也许截图中的东西太糟糕了，甚至CNET下载都不想强迫你。这不是个好兆头。

当然，进行捆绑的不仅仅是CNET下载--我们发现在免费软件下载网站上分发的其他一些应用也在进行自己的捆绑。例如，加载Windows版HTTPS劫持广告软件的YTD有一个Mac版本。他们也在捆绑水龙头。想喝点什么吗？你为什么不去他们的网站下载uTorrent呢？看起来人们很喜欢用这个。哦。

当你试图使用你最喜欢的搜索引擎搜索免费软件时，问题会变得非常、非常糟糕。值得一提的是，谷歌最近刚刚开始尝试在其搜索结果和广告中禁止捆绑垃圾软件，但遗憾的是，雅虎和必应没有同等程度的出色表现。事实上，他们就是太可怕了。

如果你是一个普通的普通用户，你在雅虎搜索“VLC下载”，你会看到类似于下一个截图的内容。页面上的每一件事实际上都是VLC捆绑的垃圾软件安装程序的链接，几乎所有的安装程序都是跨平台的，可以在OS X上运行，而写着“广告”的文字几乎是看不见的。

当毫无戒心的用户尝试使用这些安装程序中的一个时，他们将不会看到类似于此…的屏幕。它安装了InstallMac Wawness，它劫持了所有东西，并将广告软件放入您的系统-这太可怕了。当然，下一个屏幕试图让您安装其他您不需要的东西。然后是其他的东西。太多废品了。

我们发现有更多的软件正在以这种方式提供服务，几乎每家捆绑的crapware安装程序公司都有大量的安装程序。这里有一个OpenOffice的安装包装，与一个非常糟糕的广告软件捆绑在一起，它刚刚接管了你的浏览器。是的，我们再次在雅虎搜索OpenOffice，并点击了我们实际上认为是真正的网站，因为他们的“广告”文本太小了，我们看不出有什么不同。这就是出现的情况。

它即将成为Mac用户的流行病。那么，我们必须期待什么呢？

OS X上的广告软件和恶意软件几乎和Windows上一样可怕

当你确实设法感染了什么东西时，OS X上的大多数广告软件、恶意软件和间谍软件都会以某种方式试图感染你的浏览器，劫持你的新选项卡、搜索和主页，在页面中插入广告，并随机弹出令人厌恶的技术支持警报。大部分都不会擦除你的硬盘或任何真正可怕的…。但基于我们看到的日益复杂的技术，这只是个时间问题。

正如你在上面的截图中看到的那样，许多浏览器劫持者会插入弹出消息的广告，无论你做什么，这些消息都不会被忽视。当你浏览的时候，它们会随时随机出现，你必须按CMD+Q来完全关闭应用程序，才能清除它们。从本质上说，你的浏览器变得完全没用了。

最简单的广告软件会将自己作为扩展安装到你的浏览器中，并将你的所有页面重置为通过他们可怕的、可怕的搜索引擎。我们主要指的是雅虎…。但还有很多其他的网站，比如search-moose、search-fast和searchbenny，都使用自己的假搜索引擎。他们中的一些人会将你重定向到必应，但永远不会直接。它总是通过像特罗维这样的中间人。

大多数被注入的广告会试图欺骗你安装更多的广告，使用虚假的Java插件消息，或者告诉你安装编解码器或新版本的Flash的消息。当然，所有这些都是假的，只会在你的电脑上安装更多的垃圾软件和恶意软件。每隔一段时间，他们中的一个人会试图提供一款Windows广告软件，但在大多数情况下，他们足够聪明，知道你是Mac用户，并提供合适的垃圾软件。

许多广告软件会将你的搜索引擎重定向到一个看起来很像谷歌或必应的假搜索引擎，但所有的结果都是广告。

然后它会随机开始和你说话。字面意思。它通过你的扬声器播放音频广告。我们听到诺斯鲁普·格鲁曼的广告。这有多疯狂？(我们相当肯定他们不知道这件事。)

我们只是展示了一些令人讨厌的广告软件，但很多捆绑的垃圾软件也是相当糟糕的东西，我们找到的几乎每一个垃圾软件捆绑包，几乎每个广告都试图让我们安装MacKeeper。我们对此知之甚少，尽管我们确实计划调查它是如何运作的，因为这些新的策略是有问题的。

我们在广告软件中注意到的最大趋势是，几乎所有的广告软件都试图将你的浏览器和搜索引擎重定向到雅虎。雅虎那边的某个人需要被解雇。

深入挖掘：某些恶意软件实际上是如何工作的

这个简单的广告软件的工作方式与大多数广告软件一样，只需将自身安装到Safari的扩展中，卸载起来相当容易。问题是，在我们的研究中，只有几个广告软件是这样工作的。

所有的搜索引擎劫持、主页重定向和扩展注入广告都是一回事。更大的问题是严重的恶意软件，它将自己安装在操作系统的深处，普通人永远无法删除它。没有卸载程序，没有启动项目，你的浏览器中没有插件，没有扩展，或者任何其他似乎已经安装的东西。

然而，在你做的每件事中都注入了可怕的广告，让你的电脑变得比泥土还慢。您的搜索引擎将被劫持，并且您的浏览器可能会通过代理路由。这是彻头彻尾的恶意软件，它不再仅仅是广告软件，即使你不小心忘了选中某个地方的复选框。它的工作方式与Windows上的Trovi恶意软件一样，通过将自身注入到进程中。

这些更严重的恶意软件将自身安装为后台运行的守护程序或服务。您可以在/Library/LaunchAgents或/Library/LaunchDaemons文件夹中找到这些内容，其中会有一些看起来非常奇怪的不属于它们的项目。这个文件夹也可以用于实际应用程序中的实际内容，所以不要完全清空这个文件夹或做任何其他事情。

检查PLIST文件将显示实际恶意软件所在的位置，通常位于完全独立的文件夹中。

当您进入该文件夹并检查Version.plist文件时，您将获得有关实际情况的更多信息。这个叫做Search-Quick的东西，出于某种原因，它支持劫持Chrome和Safari，以及Webkit每晚的构建。

进一步检查发现了一些奇怪的…。编写这个恶意软件的人想特别感谢他的母亲。

一旦恶意软件被OSX作为守护程序启动，它就会使用OSX中一项鲜为人知的功能，该功能允许一个进程将自己注入到另一个进程中。您可以通过打开终端并直接运行代理可执行文件来查看它是如何工作的。实际上，它会将自己附加到你的网络浏览器上，并将自己作为一个隐藏的扩展加载。在下面的屏幕截图中，您可以看到它为进程ID 544激活，即Google Chrome。如果Safari是打开的，它也会对它做同样的事情。

这意味着广告软件或恶意软件正在您的网络浏览器内部运行，将其自身注入到您访问的每个页面中。不管你是不是在访问安全的银行网站，他们已经在里面了。该恶意软件的副作用之一是，无论您在做什么，您的整个计算机都会一直非常慢。

关于在OSX中删除广告软件和恶意软件的一些提示，你可以阅读苹果的支持文档，或者只需等待我们即将发表的关于这个主题的文章。我们将对所有这些事情做更多的研究。

那么这一切意味着什么，你如何保护自己呢？

即使我们已经表明恶意软件、广告软件、垃圾软件和间谍软件在OSX上变得越来越糟糕，但这并不意味着您一定需要担心，或者出去安装Linux，或者做一些极端的事情。OS X仍然没有像Windows那样成为攻击目标，而且仍然有一些安全措施到位，这使得恶意软件更难通过。

您可以做的最安全的事情就是尽可能使用Mac App Store安装您的应用程序。这些应用程序已经过苹果公司的验证，应该可以正常使用，而且肯定不会附带任何捆绑的垃圾软件或广告软件。

限制不是来自应用商店的应用

这并不能完全解决问题，但你可以配置OSX自动限制任何不是来自App Store的可执行文件。这将不适用于您的计算机上已安装的应用程序，无论它们来自何处。它将简单地应用于新的下载。

进入“系统偏好设置”->“安全与隐私”，单击底部的“锁定”图标，然后将设置翻转到Mac App Store，而不是默认设置。

一旦你这样做了，试图运行任何不在App Store中的东西都会自动显示一条阻止消息。如果右键单击并选择“打开”，然后再次选择“打开”，则可以选择仍将其打开，但默认情况下，所有内容都被阻止。

这并不能解决您不想安装的应用程序的问题，因为捆绑的垃圾软件需要在默认情况下选择退出。但对于你的亲戚来说，这是一个很好的安全环境。

当您确实需要从其他地方安装应用程序时，请确保它是一个真正可信的来源，而不是一个用捆绑包包装提供开源免费软件的假站点。

相关：Oracle不能保护Java插件，那么为什么在默认情况下它仍然处于启用状态？

你还应该考虑禁用你的浏览器插件--对于Chrome和Firefox来说，这很容易，而对于Safari来说，这就有点复杂了。你能做的最大的事情就是禁用你的Java插件，因为你很少需要这样做，而且2013年91%的攻击都是由Java负责的。这将降低您成为零日攻击目标的可能性。

现在甚至可能是时候开始考虑OSX的杀毒软件了，至少如果你想从App Store以外的地方安装很多软件的话。如果你不这样做，这可能不是什么大事，但我们正在接近需要它的地步。我们还不太确定的是，Mac版的杀毒软件到底有什么价值，可以屏蔽这类东西--在Windows上，大多数杀毒软件根本不会拦截捆绑的垃圾软件和广告软件，因为它们是合法的，因为你必须在安装过程中征得同意。所以不要现在就去付钱买些杀毒软件。只是为了将来牢记这一点。

除此之外，只需小心你点击的内容，不要相信Web浏览器窗口中弹出的错误消息。如果您看到您的计算机被感染，并弹出一条消息，请按住CMD+Q快捷键组合以立即关闭所有内容。

对于Windows用户来说，现在是切换到Mac的最佳时机。开发了这么多垃圾软件和广告软件，他们会有宾至如归的感觉！(当然，我们是在开玩笑。)