防病毒软件厂商ESET发布了关于OSX/Flashback威胁的一篇技术分析文章。其曾在6个月前全面运转,但是ESET的一位专家表示现今该威胁已经“灭绝”。“我们已经看到Flashback木马的操纵者通过关闭最新的C&C(命令与控制)服务器放弃了对该僵尸网络的控制”,ESET公司的安全智能项目经理Pierre-Marc Bureau在一篇博客中写到。“看起来Flashback木马的操纵者没有发布任何新的二进制文件来规避侦测,也没有用新的架构来继续他们的运转”。
Flashback木马于2011年秋季被首次发现,因它在4月感染了超过50万台Mac计算机受到广泛的关注。ESET公司的技术分析文章《OSX/Flashback——首个感染成千上万苹果Mac计算机的恶意软件》描述了Flashback木马如何感染Mac OSX系统的计算机,并且分析了它的安装组件和库文件。该恶意软件以许多不同的方式感染受害人的机器,首个方法是伪装成Adobe Flash player的更新文件。Flashback木马还使用Java签名的applet,并且利用Java中两个不同的缺陷、即CVE-2012-0507或 CVE-2011-3544漏洞来感染用户的电脑。
这个位于斯洛伐克共和国首都布拉提斯拉瓦的防病毒软件厂商还注意到Mac用户通常没有认真对待他们机器的安全,Flashback木马触动了苹果和Java之间足以载入编年史的关系。“因为使用的是OS X系统,一些Mac用户认为他们是免疫于恶意软件的。当然,OS X的恶意软件威胁数量少于Windows系统的,但是他们不是不存在的“,该报告解读到。对于Mac系统来说Flashback木马也不是唯一的问题。今年Lamadai、MacControl以及 Crisis木马也给Mac用户带来问题。专家们将针对Mac系统的恶意软件威胁增长归咎于攻击这些机器后不断增长的红利。
当Flashback木马首次出现时,苹果公司不得不证实其存在、并且通过它的更新系统来发送更新文件。这意味着Oracle公司无法像在PC上一样在同一时间为Mac系统更新Java程序。为Mac系统的更新通常姗姗来迟,包括此次的Flashback木马案例。
Flashback木马触动到了Apple-Java之间关系的另一个变化。“苹果公司注册了所有连接到Flashback木马的可用域名,包括那些动态产生的。在那之后不久苹果为OS X系统开发更新文件来侦测Flashback木马,并且将其从系统中卸载”,ESET的分析报告表示。随着Mac OS X Lion(版本10.7)系统的首次亮相,苹果公司停止在它的操作系统上默认安装Java编译器。报告称其为“可能被看作是减少攻击途径的举动,也可能被理解为尝试避免更新软件超出其控制范围内。”
