安全公司发现新 Mac 木马程式 OSX/Crisis

安全公司发现一个木马程式,专门针对Mac OS作业系统下手,搜集MSN、Skype、Mozilla Firefox、Safari等软体通讯。

安全公司Intego上周发现这个名为OSX/Crisis的木马程式,它进入Mac作业系统后无需任何密码就可悄悄安装,且在根目录下建立新的资料匣(~/Library/ScriptingAdditions/appleHID/),而且每5分钟就向特定IP发出呼叫等待指令,也就是开了后门。

安全公司发现,OSX/Crisis会将用户特定资讯传送给不知名第三者。赛门铁克指出,OSX/Crisis会监控Adium、MSN Messenger (for Mac)、Mozilla Firefox、Skype、Safari,并且纪录相关流量或使用情况,再将资讯传送回到176.58.100.37的伺服器。

Intego指出,这个木马程式目前仅感染OS X Leopard 10.5,尚不会感染Mountain Lion 10.8。如果所在的系统具备管理员权限,它就会植入rootkit自我隐藏,增加侦测的难度。Intego指出,这种反侦测技术在Windows平台的恶意程式很平常,但在OS X上则很罕见。

OSX/Crisis是最新一个在Mac OS作乱的恶意程式。由于Mac电脑普及度渐增,现在连恶意程式作者也对Mac OS感到兴趣:2012年以来有OSX.Flashback.K变种、OSX.Sabpab及OSX.Macontrol 及其变种等。

在散布方式上,赛门铁克指出,OSX/Crisis并不会入侵作业系统弱点,而主要仰赖社交工程等途径,诱骗用户自行下载而成。因此安全公司都表示,OSX/Crisis虽然自我隐藏手法高明,但目前散布的情况应不致太严重。