资料来源:美联社在正常情况下,检测到其中一个反病毒公司后的任何类型的恶意软件都会在一两天内(如果不是几个小时)被其他公司的反病毒软件检测到。 最近发现,四个月前发现的Mac病毒至今仍未被反病毒软件检测到-除了卡巴斯基和ZoneAlarm。
根据信息安全专家的说法,Windshift(恶意软件的名称)是来自中东的一个网络犯罪集团的项目。 关于病毒,例如
在这里和
这里 ,已经被反复说过和写过。
上周,MacOS信息安全专家Patrick Wardle
发布了对该恶意软件
的详细分析。 为了研究该病毒,专家安装了该病毒,并立即检查了防病毒系统如何应对这种危险。 事实证明,只有卡巴斯基和ZoneAlarm对该恶意软件“熟悉”;其他公司对此一无所知。
专家发现,苹果公司也很熟悉恶意软件,因为与软件签名的数字证书已被撤销(CSSMERR_TP_CERT_REVOKED)。 但是,在检查了VirusTotal服务后,通过该服务运行了与恶意软件相关的文件,结果发现几乎没有检测到它们。 在大多数情况下,该服务未检测到任何问题-只有两家防病毒解决方案提供商确定存在恶意软件。
所有这些可能表明Apple没有为防病毒开发人员提供恶意软件的定义。 提供此数据是防病毒软件领域中的一种常见做法(甚至有人说是常规的做法)。 交换这些数据有助于服务和防病毒软件快速学习以确定新恶意软件的存在。 如果没有人提供有关此信息,则防病毒开发人员对恶意软件一无所知。
恶意软件本身的操作原理非常简单。 最初,网络钓鱼电子邮件被发送给潜在的受害者。 它们包含页面的URL,以及带有恶意软件的.zip文件。 文件下载完成后,恶意软件会尝试开始使用自定义URL,这并非难事。 在尝试访问该URL的过程中,一个已经打开的页面(已从该页面中加载了恶意软件)发出安装第三方软件的请求。 安装后,该恶意软件在系统上运行,从而为常规页面提供了URL替代。
顺便说一句,如果受感染系统的所有者连接到本地网络,则恶意软件会自动渗透到连接到同一网络的其他设备。
现在,该病毒几乎是无害的,因为它所访问的服务器已停用,无法正常工作。 此外,如果启用了自定义URL系统,则最新的Safari浏览器版本现在会显示一条通知。 如果用户甚至决定继续,则将激活Gatekeeper安全功能,这将使Mac所有者知道他的系统正在尝试安装某种文件。
不久前,多家出版物的记者试图从苹果公司了解该公司为消除这种威胁所做的工作。 该公司答复说该问题已解决,将不再与用户有关。 但是,目前尚不清楚到底做了什么以及为什么苹果不向杀毒服务提供威胁数据。 很可能其他恶意软件(不仅是Windshift)会重复这种情况,因此很难从照顾用户的角度来解释这种公司行为。
与病毒作斗争的各个组织之间的恶意软件数据交换对于信息安全至关重要。 如果公司不进行交换,那么识别危险的恶意软件并消除它们的正常工作将变得不可能。 不幸的是,Apple没有提供有关其如何参与防病毒专家之间的数据交换程序的信息。 结果,这种情况成为可能。