安全厂商已经发现了一种新的恶意软件,可以攻击PC和Mac电脑。flashback恶意软件利用java安全弱点,感染了成百上千台Mac电脑。和flashback一样,当攻击的时候,这种java applet可以检测被攻击者运行的是哪种操作系统,然后下载相应平台的恶意软件。
骇客喜欢使用跨平台的插件作为攻击媒介,这样就可以使他们把更多的操作系统平台作为攻击目标,进而获取更多的潜在被攻击用户。自从java被曝出安全问题以后,骇客利用这种安全漏洞作为攻击Windows和mac电脑的途径,也就没什么好奇怪的了。
这种特殊的“病毒”,利用java漏洞下载远程恶意代码到目标用户的电脑。如果是windows平台,则会下载并安装一个使用C++写的后门木马程序,如果是苹果Mac电脑,则会下载并安装一个使用Python语言写的类似木马,称为update.py(从install_flash_player.py文件里提取出来)。
这两个恶意软件可以在没有抵抗力的电脑上打开一个后门,在用户不知情的状态下,允许骇客远程发送命令,上传代码到受害者的电脑里,盗窃文件,运行命令。这两个木马都是从同一个服务器下载下来。
恶意软件仅仅检测一次目标用户是否运行Windows系统,如果不是,就下载Python版本病毒,并再次检测是否Mac系统,如果目标用户运行Linux系统,或者其他系统,这个病毒就不运行。Python并不是病毒制作的常用语言,但是,在默认安装Python的Mac平台上,它却有非常惊人的表现。
Mac平台病毒可以控制自己多长时间从服务器端接受一次命令,和接受几次命令,以躲避IDS和IPS的监测。此外,网络连接信息还时常被RC4加密或者压缩成zlib。这种病毒有这些功能:下载文件,列表文件和文件夹,打开一个远程命令行,休眠,上传文件等。
Mac用户除了使用杀毒软件,还可以检查你的Mac电脑里的这两个文件是否被感染,这两个文件都可以安全删除,
/Users/Shared/update.sh (shell script)
/Users/Shared/update.py (Python script)
Windows平台病毒在后台发送这些信息到远程攻击者那里:CPU、硬盘、内存信息和操作系统版本,还有用户名。另外,还可以在受害者电脑上下载文件并执行,或者打开一个命令行接收命令。
2月14日, windows、Linux和unix版本的java漏洞补丁已经放出。在4月初,flashback僵尸网络发现之前,苹果也释出了一个相应的补丁,但是,苹果并没有发布Mac OS X 10.6用户的java漏洞安全补丁,因为苹果将升级新版本的Mac OS X 操作系统,目前,这些用户只能通过禁用java来防止侵害。
如果你不使用java,你最好把它关闭。即使你没有安装java,也要为你的操作系统和软件保持最新的更新,不论你是微软用户还是苹果用户或者其他系统用户。
赛门铁克探测给出的这种java病毒名字为"trojan.maljava"、"trojan.dropper"、" backdoor.trojan"。
扫一扫
1508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
