OSX用户喜欢取笑Windows用户，因为他们是唯一有恶意软件问题的用户。但这已经不再是事实了，在过去的几个月里，这个问题急剧增加。加入我们，让我们揭露真相，并希望警告人们即将到来的厄运。

由于它实际上是Unix的幕后黑手，osx有一些针对最坏类型病毒的本机保护。但现在的问题不是病毒完全破坏了你的电脑，而是间谍软件、垃圾软件和广告软件潜入你的电脑，劫持你的浏览器，**广告，跟踪你看到的东西。而且大部分都是合法的，因为你在安装过程中被欺骗点击了错误的东西。

相关：下载.com还有一些人捆绑了超时尚的HTTPS广告软件

现在，下载网站、搜索引擎上的虚假软件广告以及粗略的应用程序正在将广告软件和垃圾软件捆绑到合法软件的安装程序中。你不能因为在OSX上就认为自己是安全的。你需要小心下载什么和点击什么。

如果你不认为这是一个大问题，再想想。这些广告软件直接**浏览器，它们甚至在银行、信用卡网站和电子邮件等安全网站上进行分析和运行，并将数据发送回服务器。从我们的研究中可以看出，他们还没有使用HTTPS劫持代理，但这只是时间问题，他们可能已经在使用了，我们还没有找到证据。

既然我们主要是Mac用户，我们真的希望苹果在这个问题上采取与微软不同的策略，不要让这些骗子破坏他们的平台。

OSX的捆绑垃圾软件一天比一天糟糕

不久以前，你几乎可以在任何网站上安装OSX的任何东西，你也不必担心你点击了什么。这不再是事实了，虽然情况比Windows要好，但这只是时间问题。

相关：以下是安装前10个下载.com应用程序

你仍然可以从Mac应用商店获得安全的软件来源，但问题是并非所有供应商都通过应用商店销售自己的软件，而且许多供应商都在那里销售旧版本，并且在自己的网站上有最新版本。如果你坚持应用商店，你就没有什么可担心的了。我们很想看到苹果解决应用商店的一些问题，让每个人都使用它。

就像在Windows上一样，你不必再去看CNET的下载就能找到捆绑的垃圾软件……甚至对于Mac也是如此。是的，他们已经跨平台胡说八道了。他们让事情变得更糟，因为你要么有一个安装按钮，要么有一个关闭按钮。甚至不再下降了！单击“关闭”时，安装程序将完全关闭。所以你要么有捆绑的垃圾软件劫持你的浏览器，要么你没有安装该应用程序。

屏幕截图中的一个安装了插口和一堆其他的废话，这些废话会将你的浏览器重定向到雅虎，安装了一堆不需要的插件，通常会让这个会飞的意大利面怪物大哭一场。令人惊讶的是，雅虎在这些东西上投入了这么多钱，把你的浏览器劫持到他们的搜索引擎上……而这些东西甚至不是他们的。雅虎搜索实际上只是Bing的更名版本。哦，好吧。

天哪！在下一个屏幕上，安装程序最终允许您再次拒绝某些内容！也许截图上的东西太糟糕了，连CNET下载公司都不想把它强加给你。不是个好兆头。

当然，不仅仅是CNET下载做捆绑-我们发现一些其他应用程序正在免费下载网站上分发，他们正在做自己的捆绑。例如，加载用于Windows的HTTPS劫持广告软件的YTD有一个Mac版本。他们还捆绑龙头。想说点什么吗？你为什么不从他们的网站上下载uTorrent？似乎人们喜欢用它。哦。

当你试图用你最喜欢的搜索引擎搜索免费软件时，问题变得越来越严重。值得一提的是，谷歌最近刚刚开始尝试在他们的搜索结果和广告中禁止捆绑垃圾软件，但遗憾的是雅虎和必应并没有同样的令人敬畏的水平。事实上，他们只是很可怕。

如果你是一个普通的普通用户，在雅虎搜索“vlc下载”，你会看到下一个截图。页面上的每一个东西实际上都是指向一个捆绑的垃圾软件安装程序的链接，而且几乎所有的东西都是跨平台的，在OSX上工作，上面写着“广告”的文字几乎是看不见的。

当一个不知情的用户试图使用这些安装程序之一，他们将看到一个屏幕类似于这一个…这安装了InstallMac可怕的劫持一切，并把广告软件到您的系统-这是可怕的。当然，下一个屏幕会让你安装一些你不需要的东西。然后是别的。太多垃圾了。

我们发现更多的软件是这样提供的，几乎每个捆绑的垃圾软件安装公司都有大量的安装人员。这里有一个OpenOffice的安装包装器，它与一个非常糟糕的广告软件捆绑在一起，只会占据你的浏览器。是的，我们再次搜索了雅虎的OpenOffice，点击了我们认为是真实的网站，因为他们的“广告”文字太小了，我们分不清区别。这就是发生的事情。

它即将成为Mac用户的一种流行病。那么我们还有什么期待呢？

OSX上的广告软件和恶意软件几乎和windows上的一样可怕

当你成功感染了某些东西时，OSX上的大多数广告软件、恶意软件和间谍软件都会试图以某种方式感染你的浏览器，劫持你的新标签、搜索和主页，向页面中注入广告，并随机弹出令人讨厌的技术支持警报。大多数都不会擦去你的硬盘或任何真正可怕的东西…但基于我们看到的日益复杂，这只是时间问题。

许多浏览器劫持者会**广告，弹出信息，无论你做什么，都不能被驳回，正如你在上面的截图中看到的那样。它们会在你浏览的时候随机出现，你必须用CMD+Q完全关闭应用程序才能摆脱它们。基本上，你的浏览器变得毫无用处。

最简单的广告软件会把自己作为一个扩展安装到你的浏览器中，然后重置你所有的页面来浏览那些糟糕的搜索引擎。我们主要是指雅虎…但还有很多其他公司，如searchmoose、searchquick和searchbenny，使用自己的假搜索引擎。其中一些会将你重定向到必应，但从来没有直接。总是通过像特罗维这样的中间人。

大多数被注入的广告都会试图用虚假的Java插件消息，或者告诉你安装编解码器或新版本Flash的消息来欺骗你安装更多的广告。当然，所有这些都是假的，只会在你的电脑上安装更多的垃圾软件和恶意软件。他们中时不时会有人尝试提供一个Windows广告软件，但在大多数情况下，他们足够聪明，知道你是Mac用户，并提供适当的垃圾软件。

很多广告软件会将你的搜索引擎重定向到一个看起来很像谷歌或必应的假搜索引擎，但所有的结果都只是广告。

然后它会随机开始和你说话。真的。它通过扬声器播放音频广告。我们听到了诺斯鲁普·格鲁曼公司的广告。这有多疯狂？（我们很肯定他们不知道这件事。）

我们刚刚展示了一些恼人的广告软件，但是很多捆绑的垃圾软件也是相当糟糕的东西，几乎我们找到的每一个垃圾软件捆绑程序，几乎每一个广告软件广告都试图让我们安装MacKeeper。我们不太了解它，尽管我们确实计划研究它是如何工作的，因为这些策略是值得怀疑的。

我们注意到的广告软件的最大趋势是，几乎所有的广告软件都试图将你的浏览器和搜索引擎重定向到雅虎。雅虎那边有人要被解雇了。

深入挖掘：这些恶意软件实际上是如何工作的

这个简单的广告软件和大多数广告软件的工作原理一样，它将自己安装到Safari的扩展中，而Safari的扩展很容易卸载。问题是，在我们的研究中，只有少数广告软件是这样工作的。

所有的搜索引擎劫持，主页重定向，和扩展注入广告是一回事。更大的问题是严重的恶意软件，它安装在操作系统的深处，普通人永远无法删除它。没有卸载程序，没有启动项，浏览器中没有插件，没有扩展，或者其他任何看起来要安装的东西。

然而，在你做的每件事中都注入了可怕的广告，使你的电脑比灰尘还慢。你的搜索引擎将被劫持，你的浏览器可能会通过代理路由。这是彻头彻尾的恶意软件，它不再只是广告软件，即使你不小心忘了取消选中某个框。它的工作原理与Trovi恶意软件在Windows上的工作原理相同，将自身注入进程。

这些更严重的恶意软件将自己安装为后台或后台运行的守护程序或服务。您可以在/Library/LaunchAgents或/Library/LaunchDaem***文件夹中找到这些东西，其中会有一些看起来很奇怪但不属于您的项目。这个文件夹也可以用于实际应用程序中的实际内容，所以不要完全清除这个文件夹或任何东西。

对plist文件的检查将显示实际恶意软件所在的位置，该位置通常位于完全独立的文件夹中。

当你进入那个文件夹并检查版本.plist文件，你会得到更多关于实际情况的信息。这个东西叫做Search Quick，它支持劫持Chrome和Safari，以及出于某种原因的Webkit夜间构建。

进一步研究发现了一些奇怪的东西…写这个恶意软件的人想特别感谢他的妈妈。

一旦恶意软件作为守护进程被osx启动，它就会使用osx中鲜为人知的一部分功能，允许一个进程将自己注入另一个进程。您可以通过打开终端并直接运行代理可执行文件来了解它的工作原理。实际上，它会将自己附加到您的web浏览器上，并将自己作为一个隐藏的扩展加载。在下面的屏幕截图中，您可以看到它为进程ID 544激活，该进程是Google Chrome。如果它是开放的，对Safari也一样。

这意味着广告软件或恶意软件运行在你的网页浏览器，注入自己的每一个网页，你访问。不管你是否访问一个安全的银行网站，他们已经在里面了。这个恶意软件的一个副作用是，无论你在做什么，你的整个电脑都会非常慢。

有关在OSX中删除广告软件和恶意软件的一些提示，您可以阅读Apple支持文档，或者等待我们即将发表的有关该主题的文章。我们将对所有这些进行更多的研究。

那么这一切意味着什么，你如何保护自己？

尽管我们已经展示了恶意软件、广告软件、垃圾软件和间谍软件在OSX上越来越糟糕，但这并不意味着你一定需要担心，或者出去安装Linux或者做一些激烈的事情。OSX仍然没有像Windows那样成为攻击目标，而且仍然有一些安全措施使得恶意软件更难通过。

你能做的最安全的事情就是尽可能使用Mac应用商店来安装你的应用程序。这些应用程序已经过苹果的验证，应该可以很好地使用，而且绝对不会附带任何捆绑的垃圾软件或广告软件。

限制不是来自应用程序商店的应用程序

这并不能完全解决这个问题，但是您可以将osx配置为自动限制任何不来自appstore的可执行文件。这不适用于已经安装在您的计算机上的应用程序，无论它们来自何处。它只适用于新的下载。

进入“系统首选项”->“安全和隐私”，单击底部的锁定图标，然后将设置切换到Mac App Store，而不是默认设置。

一旦你这样做，尝试运行任何不在应用商店将自动显示一个阻止消息。如果右键单击并选择“打开”，然后再次选择“打开”，则可以选择仍然打开它，但默认情况下，所有内容都被阻止。

这并不能解决您确实希望安装的应用程序在默认情况下需要选择退出的捆绑垃圾软件的问题。但这对你的亲戚来说是一个很好的安全环境。

当您确实需要从其他地方安装应用程序时，请确保它确实是一个受信任的源代码，而不是一个使用捆绑软件包装提供开源免费软件的虚假站点。

相关：Oracle无法保护Java插件，那么为什么默认情况下仍然启用它呢？

你还应该考虑禁用你的浏览器插件——对于Chrome和Firefox，这很简单，对于Safari，这要复杂一些。你能做的最大的事情就是禁用你的Java插件，因为你很少需要它，而且因为Java在2013年造成了91%的攻击。这将降低你成为零日攻击目标的可能性。

它甚至可能是时候开始考虑一个反病毒的OSX，至少如果你喜欢安装大量的软件源以外的应用商店。如果你不这样做，那可能没什么大不了的，但我们正接近需要它的时候。我们还不确定的是，Mac版的杀毒软件是否值得，是否可以阻止这类东西——在Windows上，大多数杀毒软件根本不阻止捆绑的垃圾软件和广告软件，因为它们是合法的，因为在安装过程中你必须同意。所以不要现在就去买杀毒软件。为了将来记住这一点。

除此之外，只需小心你点击的内容，不要相信网页浏览器窗口中弹出的错误消息。如果你看到某个东西说你的电脑被感染了，并弹出一条消息，按住CMD+Q快捷键组合立即关闭所有内容。

对于Windows用户来说，没有更好的时间来切换到Mac了。随着这么多垃圾软件和广告软件的开发，他们会觉得在家里！（当然，我们是在开玩笑。）