近日,安全研究人员报告称,他们已经发现感染并威胁配置Mac OS X 10.4和10.5版本操作系统的Mac计算机的木马病毒。
上周,专门为Mac提供安全防病毒工具的安全公司SecureMac,已经提出警告,声称他们的研究人员发现一种新的木马病毒——AppleScript.THT,正在被恶意人员从电脑黑客网站上通过iChat、苹果即时通讯和视频聊天软件等散播开来。
该安全公司把这种新型的木马病毒威胁级别定义为“危急”状态。
这种名为“AppleScript.THT”的木马程序利用苹果RemoteDesktopAgent(远程桌面代理)中的安全漏洞把自己安装到被攻破的Mac计算机中,并且拥有根权限。
它允许恶意人员完全实现远程登陆电脑系统,剽窃电脑用户密码和系统文件,并且能够通过开启防火墙端口、关闭系统记录等手段来隐藏自己。另外,黑客利用这个木马程序打开的安全漏洞能够记录被感染的计算机敲击键盘的动作,使用苹果计算机内置的iSight照相机进行拍照或者捕捉截屏图像,并且把这些文件设置为共享。
在 securemac警告的一天前,一名匿名读者披露了一些有关RemoteDesktopAgent(远程桌面代理)易受攻击的漏洞。并且在同一天,安全厂商的竞争对手Intego公司为此还提供了更多关于此漏洞的相关信息。
Intego公司警告,这种恶意木马病毒AppleScript,能够访问RemoteDesktopAgent(远程桌面代理)并且获得系统根权限,从而毫无阻碍地进入电脑系统内部。"当某种应用软件的权限升级到根权限时,允许于此软件上的恶意代码就会开始显示出迫害效果。这些危害可能是删除Mac用户的文件,也可能是改变系统设置,甚至更有可能周期性地产生迫害作用。”
和任何一个木马病毒一样,AppleScript.THT 木马并不是完全靠自身来获得传播,而是与电脑用户的一系列操作有关。比如下载或者登陆了某些带有木马病毒的软件或者网站等等。木马病毒也可以通过注入于电脑内部并成功实施了攻击后,通过打开另外的漏洞比如浏览器的漏洞来获得传播。
然而,一些研究人员却不以为然,认为这种木马病毒远没有想象中的严重。总部设在纽约的Matasano Security LLC安全公司顾问Thomas Ptacek 说,RemoteDesktopAgent(远程桌面代理)的漏洞不值得太多关注。
“有谁会去关注Mac系统上的根权限?”上周四他在Matasano博客上撰文说道,“由于它是个单一用户系统,我只允许你私自登陆 Matasano 公司网站。如果你剽窃用户帐号,那么会给我们带来麻烦。但是,如果你仅仅想重定向浏览器妄图扩散木马病毒,那么你这是在用”根权限“来浪费时间。”
该安全顾问与持同样观点的人还提到如下观点。电脑用户可以通过移除在系统程序库、系统服务以及远程管理模块中的远程桌面代理组件来获得保护,从而避免此类木马病毒的恶意攻击和破坏。
