更新:
4月13日,Apple公布了第一个官方的移除该木马的软件,详情参见官方说明和下载。
近日,闪回木马在Mac电脑中迅速传播,当这个事情开始被公众广为关注时,已经有数十万用户的个人电脑被感染,同时在各个论坛闹得沸沸扬扬,尤其是窗迷(Windows迷)与果粉之间的争吵,又一次的全面爆发,这一点在国外的各个公开论坛显得尤其的突出。
用户口水激战
果粉们在承受高价Mac电脑和苹果市场的蒸蒸日上蚕食Windows传统领域而倍感骄傲,以及对百毒不侵的理念深信不疑并嘲笑Windows的千疮百孔的时候,而窗迷们一面无颜面对市场上Windows疲于防守而苹果攻城略地的喜讯频报,一面持续频繁更新杀毒软件冷眼苹果背负果粉嘲讽而抱着“你们迟早和我们一样面对病毒“信念的时候,突如其来的闪回木马的出现,引起双方阵营一阵喧闹。窗迷们顿感浑身一振,把这几年来积郁在心中的愤懑化作利剑如泼水般倾斜给了对方,果粉在毫无准备中匆忙从地上拿起树枝当盾牌没料想自己已然浑身透湿。双方好久没有这样的激战了,果粉已经习惯于胜利和凯旋,而窗迷们也终于扳回一分。
突然发酵
在看双方用户激战的同时,市场各方的行动也是精彩。
首先是,早在2月24日,诸如MacRomurs等网站按照新软件发布一样漫不经心地公布这一木马的发现,最初这并没有被业界广泛重视,因为从前也有安全公司曾经发布针对Mac的病毒警告,也没有被重视一样。推特上有人声称,该木马早在去年底被发现,而按照Dr. Web公司宣称,他们在3月25日记录了第一个该木马的网站注册,其实早在去年12月份,Ars Technica就发布了有关的信息,在4月3日的时候,Dr. Web监测到13万次的感染记录,但是这些都没有被媒体和公众所关注。
而紧随其后,Dr. Web公司声称全世界已经有55万台苹果电脑被感染,之后这个数字迅速增长到65万台,虽然好多技术人员依然对他们的数据是否准确、是否夸大其词存在质疑,不过业界却顾不了那么许多,已经被这一广为传播和感染的事件数据和图表形象表述所震撼(上图),于是世界被它感动而沸腾了。在了解基本传播机制后,各个方面通过媒体激烈抨击苹果公司的行为,因为数月前Sun公司就对这个Java漏洞进行了补丁更新,但是苹果公司坚持自己开发并发布Mac版的Java程序,而苹果的行动却很慢,直到东窗事发,10日苹果公司匆忙间发布一个支持文档说他们将会发布一个移除该木马的程序,昨天他们发布了一个Java补丁程序,于是广大最终用户迫切等待它的发布,终于在昨天12日苹果发布了这个杀毒软件,最终用户可以更新下载,但是这个更新却存在这一个问题,也就是它默认禁止Java applet,虽然用户可以开启它,但是系统会在一段时间后默默地再次关闭它,虽然这个对普通用户没有太多影响,但是对于使用Java的很多企业用户来说,可不是一个好事,可以想见技术支持人员会疲于向用户解释这个情况。
木马在哪里
在检测该木马方面,虽然说F-Secure公司是最早发布详细描述该木马特征的公司,声称该木马可能感染多个应用程序,包括诸如杀毒软件在内的众多,比如Microsoft Office办公件,VirusBarrier,iAntiVirus,avast!,ClamXav,HTTPScoop,Safari, FireFox,Skype, Xcode等,该公司也给出了一个检测用的脚本程序,但是这个脚本对于大多数的最终用户来说,如同天书一般难以理解,既不知道如何使用,更是唯恐触及。Dr. Web公司声称通过反向解码,已经掌握了该木马的行为特征,但是在公布具体技术细节方面,却远远落后于F-Secure公司。最开始,人们还怀疑这个木马传说是不是真实存在过,不过很快就有人证实,在自己的网络用户中已经通过上面的检测方法检测到有木马存在,于是大家都立刻严肃对待起来,没有了质疑声。
深层原因
从各个方面的描述来看,这个木马程序对Mac系统的攻击,开始于用户被恶意导向含有这个木马的网站,访问之后,一个程序通过浏览器的Java applet被执行,该程序利用旧版本的Java虚拟机的一个严重漏洞,可以执行本地代码,之后Mac系统会提示用户输入本地管理员的用户信息。这时,如果用户输入了管理员账户信息,那么该程序获得本地管理员权限,从而扫描并感染系统内上述诸多程序,从而窃取这些程序所保留的本机所有用户账户使用这些程序时的账户信息;如果当时用户没有输入管理员账户,而是忽略了该提示,那么该程序依然会感染该用户,并搜索该用户所安装的程序,并试图获取该用户的网上账户信息。可以想见,这个漏洞产生的问题的严重性,它突破了从前苹果和诸多Unix专家们从技术角度所自认的安全共识,也就是:只要不获得本地管理员帐号系统和用户就是安全的。根据这个案例,实际情况并非如此简单和安全。再加上,早有资深人士指出,基于类Unix的Mac OS X系统,随着日益普及,早晚会被黑客们关注并攻击,只不过当时并没有一个象当前这个事件那样的广泛感染事件作为佐证,现在真的不幸被言中。所以,这才是本次事件被广为关注的深层技术和心理原因。
事情没完
对于其它安全公司们,无论是老牌还是新锐,这正是在Mac市场扬名立腕的时机,于是名不见经传的Mr.Web,老牌的卡巴,Symantec等等公司都高调宣布自己的杀毒软件公布,而一些免费软件的开发团队们就低调了很多,他们在默默研究和开发自己的解决方案。大家都公布了基于F-Secure公司的木马行为描述,编写了自己的检测程序,他们都大同小异,有的简单直观,有的更用户友好些。比如:F-Secure公司Flashback Removal Tool,Kaspersky的,Dr. Web的等等。
不过,由于这些公司的技术人员对这个曾经就出现的木马病毒,并没有做好面对市场激烈如此反应的准备,在他们发布的代码中,有些并不完善,甚至有的会造成用户部分信息的丢失。这也是为什么俄罗斯著名的Kaspersky实验室在10日公布了第一个版本的移除工具后的次日,秘密撤下该软件,在最后又重新发布了一个更新的版本。如果大家愿意欣赏,下面就是被Kaspersky撤下的那个软件的一部分代码:
*do shell script* "/bin/rm -f $(find /Users/Shared -name \".*\")" with* administrator privileges
*do shell script* "/bin/rm /etc/launchd.conf" *with* administrator
privileges
鲜为人知的背后故事
而这次事件不为大众所知的一部分人群是,松散的Mac技术论坛的技术人员的彼此无私的支持和技术的共享。单单在github上就有3个技术员公布了各自编写的代码,有的是Python的,有的是bash的 比如Hannes Juutilainen的。
Mike Neagle提示大家使用下面的简单命令来禁止Java在Safari中的执行,之后,又有人提供了在不同的浏览器中禁止Java的代码。
defaults write com.apple.Safari WebKitJavaEnabled -bool NO
Ryan manly在JAMF公布了自己的代码后,当另一个人问他是否介意把他的代码移植到自己的系统中时,他的回答相当的干脆”当然不!免费提供”。Absolutely not!
Freely given ;)
在这些技术人员开诚布公的交流中,你没有看到抱怨,没有冷嘲热讽,而是积极面对和着手防御。在此我向他们表示由衷的感谢和敬佩。Jobs离开了我们
其实,很早前就有一些针对苹果系统的木马病毒等出现,虽然不多,但并非没有,所以,如果所谓的苹果安全神话,本来就不存在。只不过苹果公司对此采取了暧昧的处理方式,既免谈而乐于市场的红火,也没有积极采取对策,虽然在Lion系统中有了一个原型,但是并没有被重视,至于是否有清晰的应对计划,外人也无从得知。忽略安全,从来而且永远,都是要面对危险的。
可以想象到的是苹果应该从这次的事件中学到点什么,并改进自己的做法。加上这次的新iPad的市场冷淡反应,从前风抢的火爆场面戛然而止,我们不仅对Apple的未来有点担心。Jobs离开了大家,我们的视野中一个精彩划过了天空,为了每日都有一个多彩的世界,我们还是愿意看到苹果继续前进,不要随着Jobs离开我们。
Tony Liu, 2012年4月13日
Ref:
600,000 Macs Worldwide Reportedly Infected by Flashback Trojan:
Flashback Tidbits: Flashback Checker, OpenDNS Protection, Apple's Low-Visibility Security Team:
Antivirus Firms Release Free Tools for Cleaning Macs Infected by Flashback
Apple Releases Java Update to Remove Flashback Malware
Remove Flashback Trojan from Mac OS X with New Software Update from Apple
Detect FlashBack Malware in Mac OS X the Easy Way
BackDoor.Flashback.39 epidemic chronology:
Antivirus Firms Release Free Tools for Cleaning Macs Infected by Flashback