Mac應用程序被發(fā)現(xiàn)含有惡意軟件
防病毒廠商Intego的研究員警告說,一個新的惡意軟件正在自由獲取的屏幕保護程序中分布。稱為OSX/OpinionSpy的間諜軟件應用程序可以掃描文件,記錄用戶活動和發(fā)送竊取數(shù)據(jù)到遠程服務器。
Intego公司專門為蘋果Macintosh電腦開發(fā)安全軟件。該惡意軟件并不新。曾在Windows機器上檢測到其以前的版本。Intego表示,根據(jù)它的行為,它被列為嚴重的安全威脅。
包含間諜軟件的應用程序可以通過流行的下載網(wǎng)站來自由傳播,包括MacUpdate、VersionTracker和Softpedia。受害人不會注意到惡意軟件正在下載,一旦惡意軟件被下載到機器上,就很難檢測間諜軟件了。
Intego公司博客發(fā)布警告說,“這些應用程序所提供的信息包含了誤導性文本,即用戶必須接受的解釋是:‘市場研究’程序與它們一起安裝。一些程序還直接從沒有這些警告的開發(fā)商網(wǎng)站發(fā)布。”
安全專家指出,一個普遍的誤解是:Macintosh和基于Linux的機器比基于Windows的電腦安全。Windows電腦經(jīng)常被攻擊者攻擊,那是因為它們所占的市場份額很高;Mac操作系統(tǒng)、基于UNIX和Linux的操作系統(tǒng)也包含可竊取敏感數(shù)據(jù)和執(zhí)行其他惡意任務的漏洞。
蘋果公司通過加入防病毒功能來回應,但對Mac OS X Snow Leopard來說還不是很成熟。蘋果也將加入一些其他安全功能,如沙盒,以便從底層操作系統(tǒng)進程中隔離應用程序。除了Intego,許多其他安全廠商包括賽門鐵克和McAfee公司也出售Mac版的反病毒軟件。
OSX/OpinionSpy間諜軟件可以打開一個后門,使惡意軟件聯(lián)系遠程服務器來上載數(shù)據(jù)。該后門允許惡意軟件自動更新新功能(在無用戶干預的情況下)。
Intego表示,目前還不清楚惡意軟件復制并發(fā)送到服務器上的數(shù)據(jù)。惡意軟件能夠自動搜索本地網(wǎng)絡數(shù)據(jù)包以收集數(shù)據(jù)。它掃描本地和網(wǎng)絡容量,并可能獲取用戶名和密碼、信用卡號碼和其他敏感數(shù)據(jù)。該惡意軟件還向用戶瀏覽器和蘋果的iChat應用程序注入代碼。該行為類似于病毒。
Intego說,“這種惡意軟件在可以執(zhí)行它的操作時,會‘感染’應用程序。它會感染Mac內(nèi)存中應用程序的代碼,但不會感染用戶硬盤上的實際應用程序文件。”
Intego公司表示,它還發(fā)現(xiàn)了第二個基于Mac的間諜軟件程序,并證明是一個OSX/OpinionSpy變種。
安全專家和SANS研究所講師Rob VandenBrink,在SANS互聯(lián)網(wǎng)風暴中心日記中寫道,惡意軟件是一個簡單的bolt-on,可以很容易地添加到其他可自由下載的應用程序上。他說,該惡意軟件是一個小型的Java/PHP應用程序,命名為mac_flv_to_mp3.php。
VandenBrink 寫道,“這一惡意軟件可以通過大多數(shù)靜態(tài)掃描測試——下載的軟件本身是干凈的,惡意軟件是作為安裝過程的一部分下載的。對OSX電腦用戶來說,需要加強實時病毒掃描程序。”
【編輯推薦】
