最近计算机安全世界经历了一场震撼,有两个会感染 Macintosh 操作系统 (Mac OS) 的蠕虫被发现,而这种操作系统向来都很少遭到计算机病毒攻击。这两个会感染 Mac OS X 10.4 的蠕虫分别在 2 月 16 日与 17 日被发现,并且已被趋势科技定义为 OSX_LEAP.A 与 OSX_INQTANA.A。而短短三天之内,Safari 网页浏览器也在 2 月 20 日被发现含有安全弱点。这个安全弱点能允许下载的指令文件自动执行,因此可能成为零时差攻击利用的渠道。
第一波攻势
恶意程序在 Mac OS 上的第一波感染行动是通过 OSX_LEAP.A 来完成。它的行径类似 WORM_BROPIA 与 WORM_OPANKI 变种,会通过实时传讯程序来散播,像 MSN 与 AOL。值得注意的是,OSX_LEAP.A 用以传播的媒介应用程序是 Apple 的 iChat 传讯程序。它会使用这个应用程序将 “latestpics.tgz” 压缩文件传送给目标收件人。然而,我们发现了一些关于这只蠕虫如何散播的线索:收件人必须将压缩文件中的 “latestpics” 这个程序文件解压缩并执行它。因为它利用了通常是与图形文件关联的图标,所以使用者可能很容易上当而将上述程序解压缩。
感染模式
使用者通过 iChat 程序收到的蠕虫是一个名为 “latestpics.tgz” 的压缩文件。将压缩文件解压缩之后会产生两个文件:
• Latestpics Mac OS 恶意执行文件
• Latestpics 隐藏的资源文件,内含主要执行文件使用的图标。
“latestpics” 执行之后会将自己与资源文件复制到 /tmp 资料夹中,然后再将这两个文件重新封装为另一个名为 “latestpics.tgz” 的压缩文件。当散播行动被触发时,它就会将这个压缩文件传送出去。
接着它会删除下列任何一个资料夹中的 apphook 资料夹:
• LIBRARY/INPUTMANAGERS (如果是以 root 权限执行)
• ~/LIBRARY/INPUTMANAGERS (如果不是以 root 权限执行)
然后它会建立它自己的 Apphook 资料夹,其中包含下列文件:
• Info
• APPHOOK.BUNDLE
建立这个内含 apphook 的资料夹之后,只要有应用程序启就都会触发散播行动,将“latestpics.tgz” 压缩文件传送给在受害者 的 iChat 连络人清单中找到的使用者。
整个感染事件的根源可追溯至 macrumors.com,有一个自称 “Lasthope” 的使用者在此论坛中发布了一个连结 (http://forums.macrumors.com/showthread.php?t=180066),并声称此连结中包含了下一版 Mac 操作系统的屏幕撷取画面。读者只要从这个连结下载文件并将它开启,就会遭病毒感染,出现异常的行为模式。张贴这些「照片」的使用者已经被这个网站停权,而恶意程序连结也被移除了。
事件发生之后,趋势科技已经向使用者发布建议,但是只将它列为低风险等级,因为文件必须要执行之后才会产生作用。关于这个恶意程序应归类为病毒、特洛依木马程序还是蠕虫,许多论坛都出现了激烈的辩论。
Apple 已经否认这是个安全威胁,声称这「不是病毒」,而是「使用者必须下载应用程序,并执行造成问题的文件才会发作的恶意软件」,此外他们还提供处理网络下载文件的安全指导方针 (http://docs.info.apple.com/article.html?artnum=108009)。
第二波攻势
在 OSX_LEAP.A 引发骚动的一天之后,概念验证型蠕虫 OSX_INQTANA.A 随即出现。它所利用的是蓝牙联机的安全弱点,这个安全弱点可以让它存取预设的交换 (exchange) 资料夹以外的资料夹或路径。根据 CAN-2005-1333 的描述,这个安全弱点是由于 Bluetooth Object Exchange (OBEX) 服务并未建置足够过滤器而造成的―因此可允许存取预设资料夹以外的路径。
OSX_INQTANA.A 是以 Java 撰写的蠕虫,它会搜寻并尝试连结可用的蓝牙装置。如果使用者接受联机,它就会利用上述安全弱点将下列文件植入 /users 资料夹中。
• worm-support.tgz - 内含蠕虫及其组件的 TAR-GZIP 压缩文件
• {user name}/Library/LaunchAgents/com.openbundle.plist - 可在激活时将蠕虫压缩文件内容解压缩的 .PLIST 文件
• {user name}/Library/LaunchAgents/com.pwned.plist - 可在激活时执行蠕虫程序的 .PLIST 文件
然而,这个恶意程序散播的可能性并不高,因为 Apple 早在 2005 年 5 月就已经修正了这个安全弱点。
此外,趋势科技也已经侦测到这个安全威胁,但是只将这个蠕虫列为低风险等级,因为除了安全弱点已经修正以外,它还必须取得联机装置的许可,才可能散播。然而,我们仍建议使用者不要执行不明文件,尤其是可疑的使用者所提供的文件。
第三波攻势
这场骚动并未就此平息,OSX 的 Safari 网页浏览器也被发现含有安全弱点,可以让下载的文件立即执行。根据默认值,这个浏览器会开启并执行下载的「安全」文件(安全的文件是指不含任何可执行程序代码的文件,例如 PDF 文件、影片、照片以及声音)。
在 Mac OS 中的可执行程序代码也可能来自二进制文件与指令文件,与 Microsoft Windows 类似。虽然浏览器可能很容易就能辨识出可执行的二进制文件,但是 shell 指令文件却可能突破防线而自动执行。如果 shell 指令文件中不含 shebang 命令列 (#!/bin/bash),浏览器就会误认为这是安全的,因而可能在终端机主控台中执行。
只要在 Safari 浏览器 “Preference” (偏好选项)菜单的 “General” (一般) 索引卷标中,将 “open safe files after downloading” (自动开启下载文件) 选项关闭即可避免文件自动执行。Apple 已经在 2006 年 3 月 1 日发布修正此安全漏洞的补丁程序。
MAC 安全性的过去与未来
首个在外散播的病毒就是以 Apple 为目标
Apple 平台向来都不太可能成为病毒攻击的主要目标,因为喜欢这个平台甚于 Microsoft 产品的人并不多。可是您知道首只在外散播的病毒就是以 Apple 的机器为目标吗?您可以在 Wikipedia 中查到 Rich Skrenta 于 1982 年针对 Apple II 系统所写的 “Elk Cloner” 病毒。号称首只「在外散播的病毒」,一旦系统以中毒磁盘片开机之后,它就会感染插入系统的磁盘。当病毒开机次数达到 50 次时,就会显示以下这首诗:
Elk Cloner: The program with a personality (Elk Cloner:人性化的程序) It will get on all your disks It will infiltrate your chips Yes it's Cloner! (它会感染你所有的磁盘,它会渗透到你的芯片中,没错,它就是 Cloner) It will stick to you like glue It will modify ram too Send in the Cloner! (它会像胶水一样粘着你,它还会修改内存,让我们欢迎 Cloner 出场吧!)
就像早期型态的病毒一样,它没有任何破坏性行为,只会产生扰人的效果。
Mac 恶意程序与趋势科技
早在 2001 年,趋势科技就曾侦测到几个 Mac 恶意程序:
MAC_RENEPO.B
发现于 2004 年 10 月 25 日,这是一个后门指令文件,它会执行下列动作:
1. 安装一个会自动激活的例程
2. 执行一个远程访问应用程序 (OSXvnc)
3. 记录使用者通过键盘输入的资料
4. 下载并执行一个密码破解程序
5. 窃取密码、密码杂凑、以及系统或使用者组态信息
6. 修改系统或其它应用程序设定或偏好选项。
MAC_MP3CONCEPT.A
发现于 2004 年 4 月 12 日,这个概念验证型恶意程序似乎是一个有效的 MP3 文件,但实际上它是一个内含 MP3 文件的 Macintosh 执行程序。执行之后,它会播放一段男人的笑声,然后显示两个信息:
• “Yep, this is an application (So what is your iTunes playing right now?)”
(「是的,这是一个应用程序 (现在你的 iTunes 正在播放什么音乐?)」)
• “(But you can add it to your iTunes library too.)”
(「(但是你也可以将它加入 iTunes 的数据库中。)」)
MAC SIMPSON.A 与 MAC SIMPSON.B
这两只会散发大量邮件的蠕虫在 2001 年 6 月 13 日发现的。他们会通过 Microsoft Entourage 或 Microsoft Outlook Express 来散播。一旦感染系统之后,它们会开启一个网页,并将它们新增到激活项目中。它们会妨碍使用者使用系统,因为一旦它们被终止时,就会重新激活网际网络浏览器。他们还会随机选择桌面图标,由此阻止使用者使用或关闭系统。
MAC_AUTOSTART.A
这个蠕虫是在 2002 年 6 月 26 日被发现,它会感染每一个挂载的磁盘驱动器,在磁盘驱动器的根目录植入一个名为 DB 的自动执行文件。它还会将自己植入 Extensions 资料夹成为 DESKTOP PRINT SPOOLER,以便在每次系统激活时都能执行。但是它并没有任何恶意的破坏行为。
未来的趋势
恶意程序作者一向都是以 Microsoft 产品为攻击目标,因它们拥有广泛的使用者 (Microsoft 的市场占有率约为 90%),因此若能成功入侵 MS 产品就意味着更广泛的破坏规模或更高的知名度。但是大多数恶意程序作者都不想「独厚」Microsoft,更何况还有其它许多选择,像是 Apple (只是较为昂贵) 以及免费的 Linux。基于这个原因,相较于针对 Microsoft 而来的恶意程序,只有少数恶意程序是以 Mac 与 Linux 为目标。
但是这场安全游戏中已经出现了一个新趋势。这一次恶意程序作者让自己扬名立万的手段并不只是感染文件或系统而已,而是进行破获及窃取信息。这导致恶意程序作者/黑客竞相寻找安全弱点进行攻击,软件公司也可借此机会立即发布补丁代码 (有些公司甚至公开发布安全性挑战,以便让他们能更快找到他们软件中的瑕疵)。标榜安全性的软件公司或认为他们的平台相当安全的使用者都可能成为攻击目标--频频出现的 Mac 或 Linux 平台的病毒即可证明这一点。
Macintosh 使用者已逐渐成为这类攻击的目标,因为他们通常都认为任何感染 Microsoft 的恶意程序对他们都没有任何影响―这种看法并不正确,因为恶意程序也可能以 Macintosh 为目标,而且破坏行为也可能像 Microsoft 恶意程序一样。
由于现在恶意程序作者似乎已开始将注意力转移到 Windows 以外的平台,使用者应该提高警觉,防范针对他们系统而来的攻击。安全产品业者,包括趋势科技在内,都不断发布建议协助顾客避免遭受攻击。
资料来源:http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=OSX_LEAP.A&VSect=T http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=OSX_inqtana.A&VSect= P
http://en.wikipedia.org/wiki/Elk_Cloner http://docs.info.apple.com/article.html?artnum=108009 http://antivirus.about.com/od/macintoshresource/a/macosxflaws.htm http://forums.macrumors.com/showthread.php?t=18006