Mac木马病毒再现(OSX/Crisis)

4qg437785v

正当我们翘首期待新版Mac OS X美洲狮10.8的发布，并为它而欢欣鼓舞，忙于下载／安装／测试的时候，在网络安全界却传来了又一个不幸的消息，一个新的Mac病毒被监测到。




这个由Intego公司首先监测到并分析和发布一些具体细节的病毒，同以往的有这很大的不同，比如上次的那个"闻名于世"的闪回(FlashBack)，这个病毒并不需要用户的干预，其实，它是默默地在用户无从察觉中感染电脑系统的，并打开一个后门，每隔5分钟就向它的宿主服务器联系，等待进一步的命令。




技术人员还没有终止对它的研究，因为它的执行代码经过特殊整理，所以不好反编译。目前的发现来说，它可以在普通用户权限下感染，创建14个文件；如果它获得系统管理员权限，那么会生成17个文件，并很好地隐藏自己。它的宿主服务器的IP是176.58.100.37.目前它只运行在10.5, 10.6和10.7的系统上，与10.8还不兼容。




这个病毒还没有被广泛地传播开，只是在VirusTotal的网站发现，所以大家没有必要恐慌。不过它在Mac系统上的感染方式和代码的书写（使用很多底层函数调用，这样更加隐蔽，难以发现），目前来说都是非常独特的。




用户自我监测方法，下面就根据它的特征给两个脚本来监测，只要是它们返回No such file or directory，就说明没有感染：



ls -la ~/Library/ScriptingAdditions/appleHID/
ls -la /System/Library/Frameworks/Foundation.framework/XPCServices/


如果感染，目前只有付费版的VirusBarrier X6可以对付。