F-Secure:Mac用戶看文件要小心,是PDF還是木馬程式?

(2011年10月4日,台北訊)芬蘭防毒軟體公司F-Secure(芬安全)發現,Mac用戶可能遇到了新的木馬程式,它偽裝成PDF文件,當用戶開啟後,就會被植入後門程式(Backdoor)。F-Secure推測,此木馬程式目前還可能處於「試水溫」的階段,尚未傳出明顯災情,並提醒Mac用戶仍須多加留意可疑的PDF檔案。

F-Secure總代理翔偉資安科技營運長杜世鵬表示:「我們很遺憾目前Mac用戶已經成為了駭客、木馬程式有興趣攻擊的族群,從目前病毒實驗室及病毒誘捕單位所得的資訊來看,現在針對Mac OS X的惡意程式數量及攻擊案件已逐漸地提高。雖然蘋果已致力於營造無毒的作業系統環境,但我們仍強烈建議台灣的Mac用戶能夠再多使用一層防護工具,以免發生個資遺失時所造成的遺憾。」

F-Secure將此惡意程式命名為「Trojan-Dropper:OSX/Revir.A」,它偽裝的PDF文件內容是一篇去(2010)年底流傳的文章,內容包含中國相關的政治議題。這種惡意程式本來可能嘗試要採用入侵Windows的方法,就是將一個PDF檔案的副檔名改為「.pdf.exe」,並且將檔案圖示改成PDF的檔案圖示。

但是,這支木馬程式的樣本卻沒有這樣的副檔名或圖示,其原因可能是Mac作業系統之中,圖示儲存在另一個位置,用戶無法直接看到;同時,也有可能是病毒樣本在上傳的時候就已經遺失了。這代表此惡意程式,可能比起其他類似手法的Windows惡意程式還來得更加難以捉摸,因為它可以使用任何它想要的副檔名。

當用戶打開該PDF文件之後,惡意程式便會在背景自動安裝一個名為「Backdoor:OSX/Imuler.A」的後門程式,但截至目前為止,它對應的伺服器還不具有與後門程式連線的能力。該伺服器的網域是在今(2011)年3月21日註冊的,並且在今年的5月21日曾經更新過。

F-Secure病毒實驗室表示,「由於此惡意程式的樣本是從我們從VirusTotal所蒐集到的,我們還不能完全確定它是用什麼方法來散播。我們推測最有可能的方式,是通過電子郵件的附件發送。惡意程式作者這一次可能只是試試水溫,看看該樣本是否能被不同的防毒軟體廠商檢測得到。」

更多實用的資安訊息,歡迎訂閱F-Secure芬安全資安部落格:http://f-secure-taiwan.blogspot.com