最近,一个叫做 Flashback 的木马病毒在 Mac OS X 平台上十分流行,并感染了超过 60 万台 Mac 电脑。那么,Flashback 究竟是怎样一种病毒,为何危害如此巨大,怎样预防和查杀,这次事件是否意味着 Mac OS X 系统已经不再安全呢?
最近,一个叫做 Flashback 的木马病毒及其变种在 Mac OS X 平台上十分流行,根据多家第三方安全公司和国外媒体的报道,Flashback 系列木马病毒的最新变种已经感染了超过 60 万台 Mac 电脑。那么,Flashback 究竟是怎样一种病毒,为何危害如此巨大,怎样预防和查杀,这次事件是否意味着 Mac OS X 系统已经不再安全呢?
什么是 Flashback 木马病毒?
初始版本的 Flashback 木马出现于 2011 年 9 月,最初版本是一个假冒的 Adobe Flash Player 安装程序,用户手动安装程序之后才会遭到感染。
此次感染 60 多万台电脑的 Flashback 木马变种在原始版 Flashback 的基础上进行了很多特殊优化。这一次病毒所用的突破口是 Java 的一个全平台漏洞,如果用户电脑上的 Java 含有这一漏洞,且浏览器允许运行 Java Applet 插件,那么当用户访问包含有 Flashback 病毒程序的网站时就会受到感染。
随后,Flashback 病毒会在后台自动下载、安装和运行更多的组件以便更深度地感染用户的电脑。Flashback 病毒会悄悄潜入到 Safari 浏览器中,跟踪记录用户的网络浏览行为、各种用户名和密码信息,并将它们发回到黑客的服务器上。同时,Flashback 病毒还会弹出伪造的系统更新窗口,要求用户输入密码以便“更新系统”,通过这种方式获取用户的管理员密码以便进行进一步的黑客行动。
与以往 Mac 平台的各种恶意软件相比,新版 Flashback 病毒利用了广泛存在的巨大漏洞,并且其下载、安装和运行都是完全静默的,不需要用户手动运行或者输入任何密码,因此具有极强的隐蔽性和危害性。
为什么 Flashback 木马病毒危害如此巨大?
Flashback 是 Mac OS X 平台上有史以来危害最大的病毒,与过去的各种 OS X 恶意软件相比,Flashback 的以下这些独特之处使其危害性极其巨大。
选择普遍存在的漏洞
传统的 OS X 平台恶意软件大多伪装成杀毒、游戏等特定类型的软件,而 Flashback 木马病毒选择了 Java 的一个未修复漏洞作为突破口。在 OS X 平台上,安装 Java 的用户数量要远远大于对少数杀毒和游戏等软件有需求的用户数量。由于 Java 的这一漏洞在 OS X 平台上普遍存在,因此只要安装有 Java 的 OS X 用户几乎都有感染这一病毒的可能。
静默感染无需用户参与
由于传统 OS X 平台恶意软件大多隐藏在软件之中,且 OS X 作为一个 Unix 系统有着十分严格的权限控制,因此传统的恶意软件需要用户运行软件或者输入密码给予授权才能运行。
Flashback 是 OS X 平台上第一个静默运行的恶意软件。其通过网页进行感染,下载、安装和运行完全静默隐蔽,不需要任何用户授权。大量用户在浏览网页时不知不觉中招,并且自始至终从未感觉到病毒在系统中的感染和运行。
苹果官方的迟缓反应
Java 目前是 Oracle 公司的产品,而苹果公司一贯认为 Java 和 Flash 一样是过时的技术,态度一向并不积极。OS X 系统中的 Java 一般稳定性较低,版本较旧。从 OS X 10.7 系统开始甚至并不自带 Java,需要用户手动安装。此次 Flashback 病毒所利用的漏洞在2月份就已经被 Oracle 修复,而苹果公司却直到4月3日才初步修复了这个漏洞。这样缓慢的节奏给了黑客足够的时间从这一漏洞入手攻击 OS X 系统。
怎样查杀和预防 Flashback 木马病毒?
怎样查杀 Flashback 木马病毒?
苹果公司已经于今天发布了针对 Flashback 木马病毒及其变种的升级补丁,该补丁将有效地移除已知的各种 Flashback 木马病毒变体,并停止 Java 的自动执行。因此,当前查杀 Flashback 木马病毒的最有效方法是尽快进行软件升级。
怎样预防其它病毒的进一步感染?
虽然苹果官方已经发布了相应的升级补丁,但是 Flashback 病毒仍然在不断地产生各种变体。其它恶意软件也很可能会利用类似的薄弱之处来入侵 OS X 系统。因此,为了预防 Flashback 病毒变体的后续感染,进一步保护 OS X 系统的安全,采用以下几点预防措施是很有必要的。
禁用 Java Applet 插件
Flashback 病毒通过允许执行 Java Applet 插件的浏览器侵入用户的电脑。随着网页技术的不断进步,目前必须使用 Java Applet 插件的网页几乎已经绝迹了。因此将其禁用对于大多数普通用户来说是一个既稳妥又安全的选择。可以在 Spotlight 中搜索“Java”打开“Java 偏好设置”软件,取消“启用 Applet 插件和 Web Start 应用程序”这一项上的勾。
禁止自动执行 Flash
最初版本 Flashback 以 Adobe Flash Player 为突破口,很多其它恶意软件也会利用 Flash 中的漏洞,此外,Flash 还是 OS X 平台上发热和耗电问题的最大原因。因此禁止自动执行 Adobe Flash Player 对于 OS X 用户来说有着重要的意义。Firefox 和 Chrome 用户可以安装 Flashblock 扩展,Safari 用户可以安装 ClickToFlash 扩展,都可以起到阻止网页中 Flash 自动加载的效果。而当确实需要使用 Flash 播放视频时只需方便地单击一下即可。
事实上,Google Chrome 浏览器中自带了一个沙盒模式下运行的 Flash,安全的沙盒模式可以有效地防止恶意软件利用 Flash 的各种漏洞,在这一点上 Chrome 比其它浏览器更加安全。因此在可能的情况下可以尽量使用 Chrome 浏览器来播放 Flash 视频。
保持系统更新
虽然苹果官方对于 Java 和 Flash 漏洞的修复速度迟缓,但是随时保持系统处于最新状态也是保持系统安全的有效手段。在“系统偏好设置”中的“软件更新”项目下勾选“检查更新”和“自动下载更新”即可。
使用杀毒软件和防火墙
虽然大多数人都认为 OS X 系统足够安全不需要杀毒软件和防火墙,但是从最近病毒猖獗的情况来看准备杀毒软件和防火墙还是很有必要的。值得注意的是,此次 Flashback 事件中很多著名的杀毒软件公司都先于苹果公司提供了 Flashback 的专杀工具。
提供 Mac 版本的著名杀毒软件和防火墙有:
绝对安全的操作系统并不存在,尽管 Flashback 病毒的肆虐使人们开始对“OS X 更加安全”的说法产生怀疑,从系统本身特性和在市场地位等因素来看,OS X 依然是比 Windows 更加安全的桌面操作系统。
为什么 Mac OS X 依然更加安全?
完善的权限控制
作为一个获得认证的 Unix 操作系统,OS X 严密的权限控制体系是其强大安全性的基础。不引起用户注意的静默感染早已成为 Windows 平台恶意软件的普遍做法,而 OS X 平台的各种恶意软件中依然只有 Flashback 通过第三方漏洞做到了静默感染,其它恶意软件在没有用户手动运行和授权的情况下大多无法发挥任何作用。
较少的用户数量
Mac OS X 的市场占有率几乎从未超过 10%,较少的用户数量使针对这一平台的黑客行为无法产生足够的利益。以获利为目标的黑客群体几乎都倾向于通过攻击用户量更大,攻破难度更小的 Windows 操作系统来达到目的。
Mac App Store 的沙盒机制
苹果公司从 2011 年开始推动 Mac App Store 应用的沙盒机制,并将从今年 6 月 1 日起强制执行。沙盒机制限制了 Mac App Store 中应用程序所能使用的权限和能够访问的资源,在很大程度上降低了恶意代码危害用户系统的可能性。
苹果公司对安全策略的持续改进
从 OS X 10.7 开始,苹果公司出于安全原因和其它因素不再在系统中预置 Java 和 Flash,下一代操作系统 OS X 10.8 中引入了 Gatekeeper 新特性,使用户可以选择多个层次的安全级别。用户可以只下载 Mac App Store 中的和经过苹果公司认证签名的程序,这样的做法进一步压缩了恶意软件的生存空间。可以预见苹果公司对安全策略的改进还将继续,未来甚至可能会像 iOS 一样只允许用户安装来自 App Store 的程序,进一步提高系统的安全性。
