F-Secure：Mac用戶看文件要小心，是PDF還是木馬程式？

（2011年10月4日，台北訊）芬蘭防毒軟體公司F-Secure（芬安全）發現，Mac用戶可能遇到了新的木馬程式，它偽裝成PDF文件，當用戶開啟後，就會被植入後門程式（Backdoor）。F-Secure推測，此木馬程式目前還可能處於「試水溫」的階段，尚未傳出明顯災情，並提醒Mac用戶仍須多加留意可疑的PDF檔案。

F-Secure總代理翔偉資安科技營運長杜世鵬表示：「我們很遺憾目前Mac用戶已經成為了駭客、木馬程式有興趣攻擊的族群，從目前病毒實驗室及病毒誘捕單位所得的資訊來看，現在針對Mac OS X的惡意程式數量及攻擊案件已逐漸地提高。雖然蘋果已致力於營造無毒的作業系統環境，但我們仍強烈建議台灣的Mac用戶能夠再多使用一層防護工具，以免發生個資遺失時所造成的遺憾。」

F-Secure將此惡意程式命名為「Trojan-Dropper:OSX/Revir.A」，它偽裝的PDF文件內容是一篇去（2010）年底流傳的文章，內容包含中國相關的政治議題。這種惡意程式本來可能嘗試要採用入侵Windows的方法，就是將一個PDF檔案的副檔名改為「.pdf.exe」，並且將檔案圖示改成PDF的檔案圖示。

但是，這支木馬程式的樣本卻沒有這樣的副檔名或圖示，其原因可能是Mac作業系統之中，圖示儲存在另一個位置，用戶無法直接看到；同時，也有可能是病毒樣本在上傳的時候就已經遺失了。這代表此惡意程式，可能比起其他類似手法的Windows惡意程式還來得更加難以捉摸，因為它可以使用任何它想要的副檔名。

當用戶打開該PDF文件之後，惡意程式便會在背景自動安裝一個名為「Backdoor:OSX/Imuler.A」的後門程式，但截至目前為止，它對應的伺服器還不具有與後門程式連線的能力。該伺服器的網域是在今（2011）年3月21日註冊的，並且在今年的5月21日曾經更新過。

F-Secure病毒實驗室表示，「由於此惡意程式的樣本是從我們從VirusTotal所蒐集到的，我們還不能完全確定它是用什麼方法來散播。我們推測最有可能的方式，是通過電子郵件的附件發送。惡意程式作者這一次可能只是試試水溫，看看該樣本是否能被不同的防毒軟體廠商檢測得到。」

更多實用的資安訊息，歡迎訂閱F-Secure芬安全資安部落格：http://f-secure-taiwan.blogspot.com