苹果日渐受黑客关注 MAC平台病毒大盘点 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| http://www.sina.com.cn 2006年04月21日 14:17 电脑商情报 | ||||||||||
|
最近计算机安全世界经历了一场震撼,有两个会感染 Macintosh 操作系统 (Mac OS) 的蠕虫被发现,而这种操作系统向来都很少遭到计算机病毒攻击。这两个会感染 Mac OS X 10.4 的蠕虫分别在 2 月 16 日与 17 日被发现,并且已被趋势科技定义为 OSX_LEAP.A 与 OSX_INQTANA.A。而短短三天之内,Safari 网页浏览器也在 2 月 20 日被发现含有安全弱点。这个安全弱点能允许下载的指令文件自动执行,因此可能成为零时差攻击利用的渠道。
第一波攻势 恶意程序在 Mac OS 上的第一波感染行动是通过 OSX_LEAP.A 来完成。它的行径类似 WORM_BROPIA 与 WORM_OPANKI 变种,会通过实时传讯程序来散播,像 MSN 与 AOL。值得注意的是,OSX_LEAP.A 用以传播的媒介应用程序是 Apple 的 iChat 传讯程序。它会使用这个应用程序将 “latestpics.tgz” 压缩文件传送给目标收件人。然而,我们发现了一些关于这只蠕虫如何散播的线索:收件人必须将压缩文件中的 “latestpics” 这个程序文件解压缩并执行它。因为它利用了通常是与图形文件关联的图标,所以使用者可能很容易上当而将上述程序解压缩。 感染模式 使用者通过 iChat 程序收到的蠕虫是一个名为 “latestpics.tgz” 的压缩文件。将压缩文件解压缩之后会产生两个文件: Latestpics-Mac OS 恶意执行文件 Latestpics?隐藏的资源文件,内含主要执行文件使用的图标。 “latestpics” 执行之后会将自己与资源文件复制到 /tmp 资料夹中,然后再将这两个文件重新封装为另一个名为 “latestpics.tgz” 的压缩文件。当散播行动被触发时,它就会将这个压缩文件传送出去。 接着它会删除下列任何一个资料夹中的 apphook 资料夹: LIBRARY/INPUTMANAGERS (如果是以 root 权限执行) ~/LIBRARY/INPUTMANAGERS (如果不是以 root 权限执行) 然后它会建立它自己的 Apphook 资料夹,其中包含下列文件: Info APPHOOK.BUNDLE 建立这个内含 apphook 的资料夹之后,只要有应用程序启就都会触发散播行动,将 “latestpics.tgz” 压缩文件传送给在受害者 的 iChat 连络人清单中找到的使用者。 整个感染事件的根源可追溯至 macrumors.com,有一个自称 “Lasthope” 的使用者在此论坛中发布了一个连结 (forums.macrumors.com/showthread.php?t=180066),并声称此连结中包含了下一版 Mac 操作系统的屏幕撷取画面。读者只要从这个连结下载文件并将它开启,就会遭病毒感染,出现异常的行为模式。张贴这些“照片”的使用者已经被这个网站停权,而恶意程序连结也被移除了。 事件发生之后,趋势科技已经向使用者发布建议,但是只将它列为低风险等级,因为文件必须要执行之后才会产生作用。关于这个恶意程序应归类为病毒、特洛依木马程序还是蠕虫,许多论坛都出现了激烈的辩论。 Apple 已经否认这是个安全威胁,声称这“不是病毒”,而是“使用者必须下载应用程序,并执行造成问题的文件才会发作的恶意软件”,此外他们还提供处理网络下载文件的安全指导方针 (docs.info.apple.com/article.html?artnum=108009)。 第二波攻势 在 OSX_LEAP.A 引发骚动的一天之后,概念验证型蠕虫 OSX_INQTANA.A 随即出现。它所利用的是蓝牙联机的安全弱点,这个安全弱点可以让它存取预设的交换 (exchange) 资料夹以外的资料夹或路径。根据 CAN-2005-1333 的描述,这个安全弱点是由于 Bluetooth Object Exchange (OBEX) 服务并未建置足够过滤器而造成的&因此可允许存取预设资料夹以外的路径。 OSX_INQTANA.A 是以 Java 撰写的蠕虫,它会搜寻并尝试连结可用的蓝牙装置。如果使用者接受联机,它就会利用上述安全弱点将下列文件植入 /users 资料夹中。 worm-support.tgz - 内含蠕虫及其组件的 TAR-GZIP 压缩文件 {user name}/Library/LaunchAgents/com.openbundle.plist - 可在激活时将蠕虫压缩文件内容解压缩的 .PLIST 文件 {user name}/Library/LaunchAgents/com.pwned.plist - 可在激活时执行蠕虫程序的 .PLIST 文件 然而,这个恶意程序散播的可能性并不高,因为 Apple 早在 2005 年 5 月就已经修正了这个安全弱点。 此外,趋势科技也已经侦测到这个安全威胁,但是只将这个蠕虫列为低风险等级,因为除了安全弱点已经修正以外,它还必须取得联机装置的许可,才可能散播。然而,我们仍建议使用者不要执行不明文件,尤其是可疑的使用者所提供的文件。 |
 | 新浪首页 > 科技时代 > 学园 > 正文 |  |
 |
|
|
|
| |||||||||||||||||||||||||||||||||||||
|
科技时代意见反馈留言板 电话:010-82628888-5595 欢迎批评指正 新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑 Copyright © 1996 - 2006 SINA Corporation, All Rights Reserved 新浪公司 版权所有 |