苹果日渐受黑客关注 MAC平台病毒大盘点(2)

　　第三波攻势

　　这场骚动并未就此平息，OSX 的 Safari 网页浏览器也被发现含有安全弱点，可以让下载的文件立即执行。根据默认值，这个浏览器会开启并执行下载的“安全”文件(安全的文件是指不含任何可执行程序代码的文件，例如 PDF 文件、影片、照片以及声音)。

　　在 Mac OS 中的可执行程序代码也可能来自二进制文件与指令文件，与 Microsoft Windows 类似。虽然浏览器可能很容易就能辨识出可执行的二进制文件，但是 shell 指令文件却可能突破防线而自动执行。如果 shell 指令文件中不含 shebang 命令列 (#!/bin/bash)，浏览器就会误认为这是安全的，因而可能在终端机主控台中执行。

　　只要在 Safari 浏览器 “Preference” (偏好选项)菜单的 “General” (一般) 索引卷标中，将 “open safe files after downloading” (自动开启下载文件) 选项关闭即可避免文件自动执行。Apple 已经在 2006 年 3 月 1 日发布修正此安全漏洞的补丁程序。

　　MAC 安全性的过去与未来

　　首个在外散播的病毒就是以 Apple 为目标

　　Apple 平台向来都不太可能成为病毒攻击的主要目标，因为喜欢这个平台甚于 Microsoft 产品的人并不多。可是您知道首只在外散播的病毒就是以 Apple 的机器为目标吗？您可以在 Wikipedia 中查到 Rich Skrenta 于 1982 年针对 Apple II 系统所写的 “Elk Cloner” 病毒。号称首只“在外散播的病毒”，一旦系统以中毒磁盘片开机之后，它就会感染插入系统的磁盘。当病毒开机次数达到 50 次时，就会显示以下这首诗：

　　Elk Cloner: The program with a personality

　　(Elk Cloner：人性化的程序)

　　It will get on all your disks It will infiltrate your chips Yes it's Cloner!

　　(它会感染你所有的磁盘，它会渗透到你的芯片中，没错，它就是 Cloner)

　　It will stick to you like glue It will modify ram too Send in the Cloner!

　　(它会像胶水一样粘着你，它还会修改内存，让我们欢迎 Cloner 出场吧！)

　　就像早期型态的病毒一样，它没有任何破坏性行为，只会产生扰人的效果。

　　Mac 恶意程序与趋势科技

　　早在 2001 年，趋势科技就曾侦测到几个 Mac 恶意程序：

　　MAC_RENEPO.B

　　发现于 2004 年 10 月 25 日，这是一个后门指令文件，它会执行下列动作：

　　1. 安装一个会自动激活的例程

　　2. 执行一个远程访问应用程序 (OSXvnc)

　　3. 记录使用者通过键盘输入的资料

　　4. 下载并执行一个密码破解程序

　　5. 窃取密码、密码杂凑、以及系统或使用者组态信息

　　6. 修改系统或其它应用程序设定或偏好选项。

　　MAC_MP3CONCEPT.A

　　发现于 2004 年 4 月 12 日，这个概念验证型恶意程序似乎是一个有效的 MP3 文件，但实际上它是一个内含 MP3 文件的 Macintosh 执行程序。执行之后，它会播放一段男人的笑声，然后显示两个信息：

　　“Yep, this is an application (So what is your iTunes playing right now?)”

　　(“是的，这是一个应用程序 (现在你的 iTunes 正在播放什么音乐？)”)

　　“(But you can add it to your iTunes library too.)”

　　(“(但是你也可以将它加入 iTunes 的数据库中。)”)

　　MAC SIMPSON.A 与 MAC SIMPSON.B

　　这两只会散发大量邮件的蠕虫在 2001 年 6 月 13 日发现的。他们会通过 Microsoft Entourage 或 Microsoft Outlook Express 来散播。一旦感染系统之后，它们会开启一个网页，并将它们新增到激活项目中。它们会妨碍使用者使用系统，因为一旦它们被终止时，就会重新激活网际网络浏览器。他们还会随机选择桌面图标，由此阻止使用者使用或关闭系统。

　　MAC_AUTOSTART.A

　　这个蠕虫是在 2002 年 6 月 26 日被发现，它会感染每一个挂载的磁盘驱动器，在磁盘驱动器的根目录植入一个名为 DB 的自动执行文件。它还会将自己植入 Extensions 资料夹成为 DESKTOP PRINT SPOOLER，以便在每次系统激活时都能执行。但是它并没有任何恶意的破坏行为。

　　未来的趋势

　　恶意程序作者一向都是以 Microsoft 产品为攻击目标，因它们拥有广泛的使用者 (Microsoft 的市场占有率约为 90%)，因此若能成功入侵 MS 产品就意味着更广泛的破坏规模或更高的知名度。但是大多数恶意程序作者都不想“独厚”Microsoft，更何况还有其它许多选择，像是 Apple (只是较为昂贵) 以及免费的 Linux。基于这个原因，相较于针对 Microsoft 而来的恶意程序，只有少数恶意程序是以 Mac 与 Linux 为目标。

　　但是这场安全游戏中已经出现了一个新趋势。这一次恶意程序作者让自己扬名立万的手段并不只是感染文件或系统而已，而是进行破获及窃取信息。这导致恶意程序作者/黑客竞相寻找安全弱点进行攻击，软件公司也可借此机会立即发布补丁代码 (有些公司甚至公开发布安全性挑战，以便让他们能更快找到他们软件中的瑕疵)。标榜安全性的软件公司或认为他们的平台相当安全的使用者都可能成为攻击目标--频频出现的 Mac 或 Linux 平台的病毒即可证明这一点。

　　Macintosh 使用者已逐渐成为这类攻击的目标，因为他们通常都认为任何感染 Microsoft 的恶意程序对他们都没有任何影响&这种看法并不正确，因为恶意程序也可能以 Macintosh 为目标，而且破坏行为也可能像 Microsoft 恶意程序一样。

　　由于现在恶意程序作者似乎已开始将注意力转移到 Windows 以外的平台，使用者应该提高警觉，防范针对他们系统而来的攻击。安全产品业者，包括趋势科技在内，都不断发布建议协助顾客避免遭受攻击。