色情网站惊现Mac木马 恐引新网络钓鱼
来源:岁月联盟
时间:2010-02-13
本月早些时候,Mac的安全软件制造商Intego公司最早发现这种木马。之后,Sunbelt软件公司,McAfee公司以及SANS网络风暴研究中心相继证实了这一问题。“OSX.RSPlug.a”木马改变了Mac的域名设置,然后将用户引向假冒的或钓鱼网站。
“通过对木马的分析发现,整个木马病毒的实现是相对简单的,和针对Windows的木马病毒几乎一样”Internet Storm Center (ISC 网络风暴中心)的高级分析员Bojan Zdrnja在早些时候发表的警告中说。“这种域名改变器攻击和常见的Windows木马监视器同样危害巨大。”
专家表示,犯罪分子正越来越重视Mac,他们针对Mac系统的攻击也相对专业,威胁可能会更大。
Sunbelt公司的CEO Alex Eckelberry与Zdrnja持相似的观点,“这是第一也是真正的有大规模的专业恶意软件联盟对Mac用户发动的攻击。”
当用户点击这些黄色网站上的链接来观看相关视频的话,这时就会弹出一个对话框要求QuickTime进行软件更新或安装插件,例如“Quicktime播放器不能播放影音文件,请点击安装新的版本。”
由于浏览器的设置,下载会出现一盒磁盘的图像然后就开始自动安装。例如,在Safari中,默认检查机制“下载完毕自动打开安全的文件”这一选择就会自动开始工作。但是,火狐浏览器并没有类似的设置,也不会自动出现这一图像或是下载安装文件。在任何情况下,用户都必须输入密码,即使安装的伪装的木马文件。
在安装之后,OSX.RSPlug.a就会悄悄地改变域名服务器,Mac会寻找一个解析地址,这样攻击者就可以将合法网页,譬如,www.google.com的请求转移到他们所选择的URL中。Intego的咨询人员称,这些请求被转移到充满广告的站点上,或是黄色网站,或是网络钓鱼站点。
对于绝大多数的用户来说,要想证实那些看不见的域名改变是很困难的,因为Mac OS X 10.4并不能显示网络参数选择设置方面的改变。
但是,最新版的Leopard 操作系统会将修改后的设置显示为灰色。如果你想了解关于电脑是否被木马感染的信息,你可以在安全检测网站上进行免费的检测。
在上周四早些时候,我们还不清楚究竟有多少色情网站上有假冒的codec-cum木马,但是Intego宣称大量的诱饵垃圾邮件已经在以Mac为主的论坛上大量出现,并且吸引了大量的用户访问这一站点。与此同时,Eckelberry称他们公司的研究人员可以在三分钟之内就获取这一木马样本,而这一切需要的只是Google进行搜索。对于那些大的安全厂商来说,目前只有公司在美国东部时间下午两点的时候发布了一个对木马的分析报告。
尽管Mac一般来说可以避开攻击者的注意力——尽管有专家称最近发布的Leopard是竞争市场上的有力武器——但是这一黄金时间将一去不复返了,Eckelberry说,“我并不是危言耸听,Mac的用户对黄色网站似乎有很大的兴趣,而这可能导致情况更加糟糕。但是现在使用新的Mac相关设备的数以百万计,从iPod到Iphone,他们使用的都是X系列的操作系统。”
Zdrnja说,使用Mac的用户与使用Windows的用户现在并无二致,一些人仍会不断的点击下载安装文件。“Mac的用户不能想当然的就认为他们的系统是无懈可击的,并且可以肆无忌惮的点击任何网站。”
