向來自詡百毒不侵的 Mac 使用者這陣子可能要小心了,因為資安公司 Intego 日前所發現的 OSX.RSPlug.A 木馬程式就是針對 Mac 而來。
目前這個木馬程式存在於若干國外色情網站上,趁著使用者興致勃勃地欣賞下載影片時,會要求安裝新版 QuickTime Codec 否則無法播放。 OSX.RSPlug.A 木馬程式 利用人性的弱點逼迫使用者立即安裝;只要一安裝就中招了。
OSX.RSPlug.A 基本上是 DNSChanger ,利用 scutil 指令改變 Mac 上的 DNS 伺服器,讓使用者轉至色情網站以便賺取廣告收益,或者以網路釣魚 (phishing) 方式,讓使用者進入惡性的假冒網站(如假冒 eBay 等)以進行資訊騙取的企圖。
##CONTINUE##
以下引用於:資安之眼 說明
當使用者在惡一往站上點選圖片想流覽視訊時,網站會顯示一則訊息,告知使用者的QuickTime Player播放器需要更新。此時木馬就會根據使用者的電腦配置,自動完成下載和安裝,該木馬程式會以root權限安裝,而不受限於使用者設置的帳戶密碼限制。
Intego在線上簡報中說明,“這種木馬是DNSChanger的變種之一,它採用了一種詭詐的方法,透過scutil指令改變Mac系統的DNS伺服器設定,一旦這個新的惡意DNS伺服器被啟用,就會篡改對一些網站的回應IP,把使用者引到一些釣魚網站上,或乾脆轉到一個顯示色情網站廣告的頁面。對於第一種情況,使用者可能會誤認為他們進入了合法的網站而輸入帳號密碼、信用卡號等,這些個人資訊會馬上被竊取。對於第二種情況,似乎這樣做可以增加點擊率,進而產生廣告收入。”
根據Intego的觀察,使用OS X 10.4(Tiger)系統的使用者無法看到DNS伺服器的變動,但是使用蘋果新作業系統OS X 10.5(Leopard)的使用者能夠在進階網路屬性的視窗中看到這種變動。
Intego 還說,這種木馬還會安裝一個具有最高許可權的守護程式,這個程式會定期運行,每分鐘檢查一次DNS伺服器,確保惡意DNS伺服器始終被使用。
移除方法:
http://www.macworld.com/2007/10/firstlo … /index.php
DNSChanger Removal Tool
相關資料來源:
OSX.RSPlug.A木馬更改本機設定指向惡意DNS
Mac上新出爐的木馬程式,你中了嗎?
SOPHOS OSX/RSPlug-A 的說明
http://www.intego.com/news/ism0705.asp
http://www.macworld.com/news/2007/10/31 … /index.php
http://arstechnica.com/news.ars/post/20 … lling.html
