數以十萬計蘋果電腦被Flashback惡意程式感染

發佈日期: 2012年04月17日 4423 觀看次數

曾幾何時,有一個神話:“Mac系統是安全的,並不需要防毒軟件”。

 

今天,這個神話受到新的惡意程式“Flashback”挑戰了。根據俄羅斯安全防病毒軟件供應商發現,“Flashback”惡意程式在全球經已感染了超過60萬部Mac電腦,大部分在美國和加拿大。對Mac電腦的攻擊一浪接一浪,另一惡意程式SabPub又出現了。

 

 

 

背景

 

Flashback早在2011年 9 月已經存在,當時它偽裝成“Flash Player安裝程式”去欺騙Mac用戶,從而使電腦感染惡意程式。它的變種速度很快,現在已經使用路過式下載技術1,使用戶不知不覺地下載並安裝惡意程式。Flashback惡意程式還可以從用户的瀏覽器和其他應用程序中,竊取密碼和其他訊息。

 

它的感染途徑如下,首先Mac的用戶訪問一個已被惡意程式感染的網站,網頁中的攻擊編碼會確定用戶是否使用Mac系統並傳送針對Java漏洞(CVE-2011-3544和CVE-2008-5353)的攻擊。如果攻擊成功,木馬下載器便會安裝在電腦上。跟住該木馬會檢測你的Mac電腦是否安裝了某些保安防毒軟件(Little Snitch, Xcode, VirusBarrier, iAntiVirus, avast!, ClamXav, HTTPScoop 和 Packet Peeper)。如果有的話,該木馬會自行刪除,否則將會要求用户輸入管理員密碼。

 

如果用戶提供了管理員密碼,木馬便會下載並安裝Flashback到電腦。對於那些沒有輸入密碼的用戶,木馬將會搜索該電腦是否存在微軟的Word,Office 2008和2011,以及Skype應用程式。如果發現以上的應用程式,木馬將停止運作並自行刪除以避免兼容性的問題。如果沒有發現上述程式,木馬便會下載並安裝Flashback到電腦你的電腦。當Flashback成功安裝後,它便會向殭屍網絡命令和控制伺服器註冊。

 

 

 

 

 

 

 

 

 

檢測和移除方法

 

表面看來Flashback惡意程式是專門針對那些沒有安裝保安軟件的Mac電腦。當感染後,它會保持沉默並成為殭屍網絡的一部分。若你的Mac電腦安裝了上述的保安軟件,你就可以避過今次的感染了。

 

在互聯網上已經有很多檢測和移除Flashback的工具或指令碼。一些需要用户手動來檢查系統文件,一些工具已經將整個程序自動化,只需點擊運行即可。你可以參考以下網站的檢測和移除工具。

  1. F-Secure Flashback 檢測和移除工具
    這工具可以檢測和移除Flashback惡意程式。
  2. Kaspersky Lab Flashfake檢測工具
    只需在網站上輸入Mac的(UUID)就可以以檢測是否受到感染。
    Kaspersky Lab Flashfake 移除工具
    這工具可以檢測和移除Flashback惡意程式。
  3. Dr. Web Anti-Flashback web site
    只需在網站上輸入Mac的(UUID)就可以以檢測是否受到感染。
    Dr. Web Light Scanner for Mac OS X
    免費的防毒軟件,它可以檢測和移除Flashback惡意程式。
  4. Apple Flashback 移除工具
    移除Flashback惡意程式的 Java 修正更新,但只支援OSX 10.6和10.7。如果是OSX 10.5的用家,就要使用以上提供的工具了。
    http://support.apple.com/kb/HT5243
    http://support.apple.com/kb/HT5244
    http://support.apple.com/kb/HT5246

 

預防措施

 

修補系統上的漏洞就好像跟時間和黑客競賽,很明顯蘋果沒有及時處理此漏洞。甲骨文(Oracle)早在2011年9月發布了修補此漏洞的更新。蘋果有她自己發布系統更新的方式,並沒有一個特定的時間表,她會按需要才發布更新。在2012年3月底,蘋果才發布系統更新,給了黑客6個月的攻擊機會。

 

另一方面,微軟定下每月第二個星期二發布安全更新的日程,透明度較高。這種做法已被其他軟件供應商如Adobe和甲骨文等採納。在Flashback這事故中,其他保安公司也較蘋果早發布檢測和清除工具。看來蘋果雖要從Flashback事故中學習及吸取教訓,以提高Mac的安全性,不要停留在Mac系統是安全的神話中。

 

我們建議Mac用戶立即執行軟件更新,修補Java的安全漏洞。如果不再使用Java,可在網頁瀏覽器上把它停用。沒有一個系統可以對每一種威脅完全免疫,加上惡意程式的迅速增長和不斷變種,系統保安已經不再只是在Windows系统上才需要,其他平台如Linux,Unix,Mac OS和移動操作系統也應認真保護。我們強烈建議Mac用戶為他們的電腦安裝保安套件(包括,防毒軟件和入侵防禦功能的個人防火牆) ,並開啟實時保護功能和安排定期掃描。 Mac用戶亦應保持他們的系統安全更新和保安套件的定義檔案更新。你可以參考我們網站上的惡意程式的防禦指引(/my_url/zh/guideline/12022902)。

 

最後,任何平台的用戶在瀏覽網頁時都應該謹慎,也不要打開來歷不明的附件。

 

參考:

 

1. 請參考我們的惡意程式的防禦指引,以了解路過式下載技術。

/my_url/zh/guideline/12022902

 

分享至

上一頁

「匿名者」威脅在2012年3月31日癱瘓互聯網

2012年04月02日 3157 觀看次數

下一頁

HKCERT的新里程

2012年04月26日 2731 觀看次數

我們使用cookie為您提供最佳的網站體驗。繼續瀏覽本網站,即表示您同意使用cookie。有關更多詳細信息,請閱讀我們的Cookie政策。

隱私政策