2012年8月1日 星期三

安全公司發現新Mac木馬程式OSX/Crisis


安全公司發現新Mac木馬程式OSX/Crisis

OSX/Crisis會監控Adium、MSN Messenger (for Mac)、Mozilla Firefox、Skype、Safari,紀錄相關流量或使用情況回報176.58.100.37伺服器。 這隻木馬程式目前僅感染OS X Leopard 10.5,尚不會感染Mountain Lion 10.8。 

安全公司發現一隻木馬程式,專門針對Mac OS作業系統下手,蒐集MSN、Skype、Mozilla Firefox、Safari等軟體通訊。

安全公司Intego上周發現這隻名為OSX/Crisis的木馬程式,它進入Mac作業系統後無需任何密碼就可悄悄安裝,且在根目錄下建立新的資料匣(~/Library/ScriptingAdditions/appleHID/),而且每5分鐘就向特定IP發出呼叫等待指令,也就是開了後門。

安全公司發現,OSX/Crisis會將使用者特定資訊傳送給不知名第三者。賽門鐵克指出,OSX/Crisis會監控Adium、MSN Messenger (for Mac)、Mozilla Firefox、Skype、Safari,並且紀錄相關流量或使用情況,再將資訊傳送回到176.58.100.37的伺服器。

Intego指出,這隻木馬程式目前僅感染OS X Leopard 10.5,尚不會感染Mountain Lion 10.8。如果所在的系統具備管理員權限,它就會植入rootkit自我隱藏,增加偵測的難度。Intego指出,這種反偵測技術在Windows平台的惡意程式很平常,但在OS X上則很罕見。

OSX/Crisis是最新一隻在Mac OS作亂的惡意程式。由於Mac電腦普及度漸增,現在連惡意程式作者也對Mac OS感到興趣:2012年以來有OSX.Flashback.K變種、OSX.Sabpab及OSX.Macontrol 及其變種等。

在散佈方式上,賽門鐵克指出,OSX/Crisis並不會入侵作業系統弱點,而主要仰賴社交工程等途徑,誘騙使用者自行下載而成。因此安全公司都表示,OSX/Crisis雖然自我隱藏手法高明,但目前散佈的情況應不致太嚴重。(編譯/林妍溱)

轉載自《iThome》