防病毒廠商Intego的研究員警告說(shuō)，一個(gè)新的惡意軟件正在自由獲取的屏幕保護(hù)程序中分布。稱為OSX/OpinionSpy的間諜軟件應(yīng)用程序可以掃描文件，記錄用戶活動(dòng)和發(fā)送竊取數(shù)據(jù)到遠(yuǎn)程服務(wù)器。

Intego公司專門為蘋果Macintosh電腦開(kāi)發(fā)安全軟件。該惡意軟件并不新。曾在Windows機(jī)器上檢測(cè)到其以前的版本。Intego表示，根據(jù)它的行為，它被列為嚴(yán)重的安全威脅。

包含間諜軟件的應(yīng)用程序可以通過(guò)流行的下載網(wǎng)站來(lái)自由傳播，包括MacUpdate、VersionTracker和Softpedia。受害人不會(huì)注意到惡意軟件正在下載，一旦惡意軟件被下載到機(jī)器上，就很難檢測(cè)間諜軟件了。

Intego公司博客發(fā)布警告說(shuō)，“這些應(yīng)用程序所提供的信息包含了誤導(dǎo)性文本，即用戶必須接受的解釋是：‘市場(chǎng)研究’程序與它們一起安裝。一些程序還直接從沒(méi)有這些警告的開(kāi)發(fā)商網(wǎng)站發(fā)布?！?/p>

安全專家指出，一個(gè)普遍的誤解是：Macintosh和基于Linux的機(jī)器比基于Windows的電腦安全。Windows電腦經(jīng)常被攻擊者攻擊，那是因?yàn)樗鼈兯嫉氖袌?chǎng)份額很高；Mac操作系統(tǒng)、基于UNIX和Linux的操作系統(tǒng)也包含可竊取敏感數(shù)據(jù)和執(zhí)行其他惡意任務(wù)的漏洞。

蘋果公司通過(guò)加入防病毒功能來(lái)回應(yīng)，但對(duì)Mac OS X Snow Leopard來(lái)說(shuō)還不是很成熟。蘋果也將加入一些其他安全功能，如沙盒，以便從底層操作系統(tǒng)進(jìn)程中隔離應(yīng)用程序。除了Intego，許多其他安全廠商包括賽門鐵克和McAfee公司也出售Mac版的反病毒軟件。

OSX/OpinionSpy間諜軟件可以打開(kāi)一個(gè)后門，使惡意軟件聯(lián)系遠(yuǎn)程服務(wù)器來(lái)上載數(shù)據(jù)。該后門允許惡意軟件自動(dòng)更新新功能（在無(wú)用戶干預(yù)的情況下）。

Intego表示，目前還不清楚惡意軟件復(fù)制并發(fā)送到服務(wù)器上的數(shù)據(jù)。惡意軟件能夠自動(dòng)搜索本地網(wǎng)絡(luò)數(shù)據(jù)包以收集數(shù)據(jù)。它掃描本地和網(wǎng)絡(luò)容量，并可能獲取用戶名和密碼、信用卡號(hào)碼和其他敏感數(shù)據(jù)。該惡意軟件還向用戶瀏覽器和蘋果的iChat應(yīng)用程序注入代碼。該行為類似于病毒。

Intego說(shuō)，“這種惡意軟件在可以執(zhí)行它的操作時(shí)，會(huì)‘感染’應(yīng)用程序。它會(huì)感染Mac內(nèi)存中應(yīng)用程序的代碼，但不會(huì)感染用戶硬盤上的實(shí)際應(yīng)用程序文件。”

Intego公司表示，它還發(fā)現(xiàn)了第二個(gè)基于Mac的間諜軟件程序，并證明是一個(gè)OSX/OpinionSpy變種。

安全專家和SANS研究所講師Rob VandenBrink，在SANS互聯(lián)網(wǎng)風(fēng)暴中心日記中寫道，惡意軟件是一個(gè)簡(jiǎn)單的bolt-on，可以很容易地添加到其他可自由下載的應(yīng)用程序上。他說(shuō)，該惡意軟件是一個(gè)小型的Java/PHP應(yīng)用程序，命名為mac_flv_to_mp3.php。

VandenBrink 寫道，“這一惡意軟件可以通過(guò)大多數(shù)靜態(tài)掃描測(cè)試——下載的軟件本身是干凈的，惡意軟件是作為安裝過(guò)程的一部分下載的。對(duì)OSX電腦用戶來(lái)說(shuō)，需要加強(qiáng)實(shí)時(shí)病毒掃描程序?！? 

【編輯推薦】

1. 卡巴斯基正式發(fā)布Mac電腦反病毒產(chǎn)品
2. 支付寶推Mac平臺(tái)Safari安全控件