11 月 6 日晨,根据国外著名媒体网站 MacRumors 公布的资料得知,中国地区很多 Mac、iOS 用户遭遇名为 WireLurker 的恶意软件(恶意代码)侵扰,再经过消息源头 Paloalto Networks 的具体分析,获悉得知,这些恶意行为几乎都来自国内一个叫「麦芽地」的果粉论坛,而该网站的一篇文章则表示了委屈和强烈的不满(详见此文。对于这次事件,我的个人观点无法做到客观、公正,但至少我可以独立地评价一下:呵呵

既然事情已经发生(其实可以追溯到 6 个月前),倒不如以解决问题为首要目标,妥善了结并预防此类现象的再度发生。如果你从来没接触过,且电脑确实未曾安装过盗版、非法客户端,那么自然而然不必产生担心;反之,笔者建议你使用少数派昨天介绍的 检测教程 来探测电脑是否受到感染?

若命令最后的显示内容为「Your OS X system isn't infected by the WireLurker」,那么你的电脑暂且相安无事,我能提供的建议就是:

  1. 删除所有非正版客户端,并在将来也不再接触它们。
  2. 若命令的前标出现了 [!] 字样,请删除关联的文件,并检查已越狱的 iOS 设备是否也受到感染,具体方法为:删除 CS 插件目录下的 sfbase.dylib 文件即可(此方法来自微博)

苹果 Mac 电脑的病毒发展史

作为一家历史悠久的 IT 巨头公司,Apple 经历过的每款操作系统,都免不了「第三者」的插足,这里指借系统漏洞实施非法行为的操作。正是在这些问题的「洗礼」下,如今的 OS X 操作系统已经拥有了相当可观的安全性,并伴随着此次事件的发生,其可靠程度将会再一次得到提升。

接下来我们不妨以 WireLurker 为首,并在之后按照由前至后的时间顺序,一步步了解那些苹果电脑遇到过的「风尘」往事,感兴趣的读者千万别错过了!

(声明:以下部分内容翻译 & 摘取自 nakedsecuritywelivesecurity 及 网易科技

1. WireLurker

2014 年,WireLurker 出现在源头为「麦芽地」网站封装的盗版 App 中,在 6 个月的时间内,这些被感染对象的总下载量超过了 35,000 次,受众者大多为中国地区用户。除了私自上传用户数据外,WireLurker 还可以通过 USB 端口,间接感染 iOS 设备,甚至对未越狱的设备也同样奏效。虽然影响到的设备数量较多,但由于其本身的传播途径受限,因此现在预防还来得及。

2. nVIR

1987 年,nVIR 病毒通过软盘广泛传播,受影响的系统版本为 4.1 ~ 8.0 等。由于病毒的源代码被公布,故导致了多个变种版本的诞生,严重危害到 Apple 电脑的安全性。有趣的是,类似的现象还发生在 MS-DOS 平台,且同样由软盘传递病毒。根据现象和时间可得出结论,nVIR 或许是多种病毒的最初体。

3. Concept

1995 年,又一种同时影响到 PC/Mac 的病毒诞生:Concept。只要启动被感染的 CD 或打开被感染的文档,病毒就会被立即激活。主要现象为:通过对 Word 通用模版 NORMAL.DOT 的扫描判断执行条件,如果其中已存在宏「Payload」或「FileSaveAs」,病毒就会停止执行;否则,病毒就会拷贝宏文件并显示一个对话框。虽说它不会带来非常严重的后果,但却为这样的行为作了一个「很好的榜样」。

4. AutoStart 9805

1998 年,一种绰号为 AutoStart 9805 的蠕虫病毒在香港被发现,它通过拷贝隐藏病毒至各磁盘分区,进而大范围地影响磁盘(甚至包括关联的外接设备),改写并随机注入未知数据,使得操作系统停止工作。受影响的对象为:运行 Mac OS 的 PowerPC 设备,并同时安装有 QuickTime 2.0 版本。

5. Renepo

2004 年,基于脚本语言开发的蠕虫病毒 Renepo(又称 Opener)肆虐 OS X 平台,被感染设备的防火墙会被完全关闭,接着自动下载 Hacker 制作的破解工具,并间接获得系统的 Admin 最高权限,最终被远程控制。

6. OSX.RSPlus.A

2007 年,又一处严重的 OS X 系统漏洞被发现。当用户在非法成人站点上点击图片准备浏览视频时,站点会显示一条消息,告知用户 QuickTime Player 播放器需要更新。这时木马就会根据用户的电脑配置,自动完成下载和安装。最后,木马程序会以 root 权限(最高权限)安装,而不必受用户设置的账户密码的限制,从而通过改变系统的 DNS 服务器配置将用户牵引至钓鱼网站上。

7. HeartBleed

2014 年,心脏出血漏洞,也简称为心血漏洞,是一个出现在开源加密库 OpenSSL 的程序错误。该漏洞通过读取网络服务器内存,访问敏感数据,从而危及服务器及用户的安全。这是近年来影响范围最广的一次全球互联网安全事件,受害者包括 Amazon, Ars Technica, Github, Mojang, SoundCloud, Tumblr, Wunderlist 等知名站点。

8. Rootpipe

2014 年,瑞典研究人员埃米尔·科瓦汉马尔(Emil Kvarnhammar)称,他发现苹果最新的 OS X 操作系统 Yosemite 存在一个新的重大漏洞,他将其称作 Rootpipe。这个漏洞可让攻击者获得受害者电脑的 root 权限,进而窃取个人信息、运行他们发布的自有程序。

事实上到目前为止,还没有证据显示该漏洞实际上有被利用过,因为用户一般都能发现相关的安全提醒。无论消息可靠与否,苹果目前在针对 Rootpipe 漏洞制作补丁,相信不久后就能得到弥补。

最后

如果把「正版应用」作为对象写一首打油诗,送给读者,那我会这么编词:

不会装说明你菜,不会用说明你弱,买不起说明你穷,养不起说明你虚;
会安装说明你棒,会使用说明你智,买得起说明你壕,养得起说明你富。

如果你愿意成为哪部分人群,我没有资格说服与劝解,但至少应该积极向上一些,不是嘛?