8455澳门新


8455网站苹果公司公布第四财季财报:净利润同比增13%

8455澳门新:二手车成交再翻番 车猫站上新起点

Mac并非固若金汤 恶意软件数量上升

新恶意软件iWorm已感染全球1.7万台Mac电脑

• 作者 维金 •
2014年10月04日17:55 • 新浪科技

8455澳门新 1

  信息安全研究人员近期发现,全球超过1.7万台Mac电脑已经感染了一种名为“iWorm”的新的OS
X恶意软件。这种恶意软件曾使用Reddit网站作为传播媒介,能窃取用户数据,触发多种系统操作,并执行Lua脚本。

  俄罗斯信息安全研究公司Dr.
Web在病毒库中将这一恶意软件标记为“Mac.BackDoor.iWorm”。这是一种复杂的后门软件,能在被感染的Mac电脑上执行多种命令,从而实现窃取用户数据,以及远程遥控系统等目的。

  在iWorm被装入Mac电脑后,这一软件会创建可执行文件,打开一个端口,对多台控制服务器发出请求,以等待进一步指令。这一恶意软件的特别之处在于能调用Reddit的搜索服务获得僵尸网络的服务器列表。

  Reddit已经封杀了这一恶意软件发送的请求,但iWorm的开发者很可能已通过其他搜索服务创建了又一个服务器列表。研究人员尚未发现该软件使用了哪一搜索服务。

  在iWorm连接命令和控制服务器之后,将会以二进制格式和Lua脚本的方式拉取指令。服务器随后可以向被感染的计算机发送其他恶意软件,或从事其他恶意活动。

8455澳门新,  iWorm本身能够收集并发送敏感的用户信息,在配置文件中设置参数,触发GET请求,使Mac电脑进入休眠状态,禁止某些节点,或运行Lua脚本。

  由于iWorm会被解压至OS
X的一个文件夹,因此用户可以很容易检查,自己的Mac电脑是否感染了这一恶意软件。用户只需点击OS
X的Finder菜单中的“Go -> Go to
Folder”选项,随后输入路径“/Library/Application
Support/JavaW”即可。如果OS
X找不到这一文件夹,那么Mac电脑就是安全的。如果能找到这一文件夹,那么用户需要安装反病毒软件,从硬盘中清理iWorm。

  根据Dr.
Web的iWorm统计分析数据,到9月26日,这一恶意软件已经感染了17658台Mac电脑。

8455澳门新 2

来自俄罗斯杀毒厂商Dr.
Web的专家发现了Rekoobe,这是一款针对Linux系统的恶意软件。

据国外媒体报道,安全公司Bitdefender的在线威胁实验室主管Catalin
Cosoi指出,很多Mac用户都认为Mac
OS固若金汤,不会受恶意软件的侵害。实际上,确实相比之下Windows用户受恶意软件入侵的危险要高于Mac用户,但是Mac并非完全固若金汤,而只是能威胁它的恶意软件相对较少罢了,相较于Windows的4千万恶意软件,Mac
OS只受几百款恶意软件的威胁。Mac面临的威胁
目前Mac
OS面临的最大威胁就是虚假的防病毒程序。今年年初,Mac
Defender骗局诱使一些用户下载虚假的病毒防护软件,而其实际上就是一款病毒。Cosoi建议Mac
OS用户明辨真假安全软件,在下载任何防病毒软件之前,用户都需要做相关的背景调查,进行独立的比较测试以确定是否需要使用该软件。黑客攻击MAC再出新招黑客技术与苹果电脑近年来一直都是戏剧性地“战乱不断”。苹果产品火热至今,已被黑客分子窥探良久,苹果用户也因此屡遭侵害,近日,一款能够通过MAC后门访问用户电脑的木马正在困扰众多苹果用户。据了解,该木马十分隐蔽,名为Trojan-Dropper:OSX/Revir.a
,它能够伪装成PDF文件,让用户在毫无戒备的情况下打开此文件后,直接导致MAC系统感染。紧接着黑客会通过MAC后门直接访问MAC用户电脑,窃取MAC用户隐私。安全专家表示:恶意软件对于OS
X平台来说的确是很大的问题,而且经常会有木马程序不断的出现。苹果通常在新的木马出现之后更新OS
X内置的反恶意软件数据库,所以最危险的时期就是恶意软件刚出现的时候,MAC用户需及时更新OS
X系统漏洞补丁,防止黑客从MAC系统漏洞下手。卡巴斯基实验室相关安全专家表示:这款Trojan-Dropper:OSX/Revir.a
木马伪装成的木马PDF文件中全是中文,所以这款木马有可能是中国人编写的,如果你已经被感染了,那么打开活动监视器找到并结束checkvir进程,然后从/用户名/Library/LaunchAgents/
directory文件夹下删除checkvir和checkfir.plist文件即可。
移动设备的威胁Cosoi指出,我们不光要对电脑的恶意软件有所防范,同时也要注意智能手机和平板电脑可能受到的攻击。目前针对Android平台的移动设备开发的恶意软件层出不穷,较去年增加了20倍,预计接下来6个月还会增加60倍。总之,无论任何设备都对层出不穷的恶意软件防不胜防。用户如果担心病毒同时又不愿意付费保护电子产品的话,可以下载试用版本软件后再根据情况考虑。

8455澳门新 3

Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马最初只会感染Linux
SPARC架构,之后它经过升级,可以感染运行于32位和64位英特尔芯片上的的Linux电脑。

木马介绍

专家解释称,Rekoobe木马本身十分简单,但它难以检测。它会使用加密手段来保护配置文件和它与C&C服务器交换的数据。

“Linux.Rekoobe.1会使用加密的配置文件。一旦读取了配置文件,木马就会周期性地接收C&C服务器的命令。在特定情况下,与服务器的连接会经由代理。”
Dr.Web的一篇博文提到。“恶意软件会从配置文件中提取授权数据。收发的所有信息会被分割成独立的块,每一块都被加密,并且含有自己的签名。”

木马的配置信息会储存在一个经过XOR算法加密的文件里。文件的路径可能是以下几种:

/usr/lib/liboop-trl.so.0.0.0
/usr/lib/libhistory.so.5.7
/usr/lib/libsagented.so.1
/usr/lib/libXcurl
/usr/lib/llib-llgrpc

研究人员发现,Rebooke可以在受感染的系统中执行恶意的payload,进而完全控制目标主机。

“Linux.Rekoobe.1只能够执行三种命令:下载上传文件、把接收到的命令发送给Linux解释器、将输出传输到远程服务器——这样黑客就能够远程与被感染主机进行交互了。”

不幸的是,Rekoobe的作者已经把这款木马移植到了其他的操作系统,包括Android、Mac
OS X和Windows。

SHA1

a11bda0acdb98972b3dec706d35f7fba59587f99 (SPARC)
04f691e12af2818015a8ef68c6e80472ae404fec (SPARC)
466d045c3db7c48b78c6bb95873b817161a96370 (SPARC)
cd274e6b73042856e9eec98d258a96cfbe637f6f (Intel x86)
8e93cfbaaf7538f8965080d192df712988ccfc54 (Intel x86-64)

Linux恶意软件

很多用户可能认为Linux系统能够免疫恶意软件,事实上,上个月就出现过针对Linux勒索软件Linux.Encoder.1,因此我们还是需要保持必要的警惕。

【编辑推荐】

相关文章

No Comments, Be The First!
近期评论
    功能
    网站地图xml地图