Mac电脑软件制造商Intego上周发现在bt上传播的苹果iWork '09软件中含有名为“OSX.Trojan.iServices.A”的木马程序。研究人员在该盗版版本安装后产生了一个正版中没有的文件“iWorkServices.pkg”,该文件是可读写的程序,随机启动。Intego称这个后台程序连接到病毒作者控制的远程服务器,通知其在各Mac机上的安装情况,病毒作者可通过此程序“远程控制用户电脑,执行诸多命令”,包括强行下载文件植入电脑。
Intego考虑到此病毒感染后的严重性,警告用户如果使用“将产生严重后果” 。此安全厂商表示在其发表警告时已有约20,000人已下载了含病毒的程序。截止目前,Intego认为又有1,000多人受害。
在周一早晨公布的关于此事的更新中称,Intego认为被感染此木马的Mac电脑会在后台下载一些代码,随后DDos(分布式拒绝服务)攻击特定网站。
Photoshop CS4
在此更新中,Intego表示在盗版Adobe Photoshop CS4中发现了一种名为“OSX.Trojan.iServices.B”的病毒变种。该公司称已有5,000人下载了该软件,他们都面临危险。
此程序并不是通过增加文件来感染系统,而是伪装成序列号生成器。此程序会根据所获信息生成一个可执行文件,并在/var/tmp目录下植入后门程序。如果用户再次执行此程序,其会生成一个文件名与之前不同的应用程序,这令其很难被清除。
Intego表示,一旦用户输入管理员密码,病毒即获得最高管理权限,将病毒程序复制到/usr/bin/DivX目录并将病毒放入随机启动项/System/Library/StartupItems/DivX。随后其会尝试与某两个IP地址连接。
恶意用户随后即可连接被感染的Mac电脑执行诸多命令并可远程下载文件。Intego猜测此木马也会执行类似的DDos攻击。
警告
基于这两个木马的危害,Intego警告Mac用户不要下载和分享任何破解软件。
“感染数量显示,感染后的损失是严重的,由于电脑可被远程控制,用户可能面临严重后果”,该安全公司网站的公告中写道。
Intego建议用户不要从不信任的网站或未知来源下载安装程序。公司表示使用其生产的VirusBarrier X4 和 X5 产品并配合2009年1月22日或之后的病毒库即可保护电脑免受此木马侵害。
新闻来源:译言