F-Secure發現新Mac木馬藏身假Flash安裝檔，感染後將導致Google搜尋被綁架失效

作者：F-Secure ThreatSolutions


我們在 Mac OS X 上發現一個假的 FlashPlayer.pkg 安裝檔（MD5: 1fc90b8f532028805d167b2b0ac9ce11），用戶一旦安裝這個Flash安裝檔就會被植入木馬，修改系統內的 Hosts 檔案，綁架Google搜尋引擎的網站。當你要連上Google搜尋引擎時，例如：Google.com.tw、Google.com.tl 等，都會被引導到「假的Google網站」，外觀是幾可亂真。

根據分析，提供假的Google頁面的伺服IP位置來自荷蘭：91.224.160.26。舉例來說，下面這是未中毒前連上 Google.com.tw 的樣子，看起來相當正常：


（點擊圖片可放大）

然後地，這是中毒後連上 Google.com.tw 的樣子，你可以發現樣子不太一樣了，但乍看之下來是很像。


（點擊圖片可放大）

在這個假的 Google.com.tw 頁面可以進行搜尋，不過搜尋出來的結果都會是假的。下面這張圖片，是未中毒前在 Google.com.tw 上所執行搜尋的結果：


（點擊圖片可放大）

接著，這是中毒後所搜尋出來的畫面：


（點擊圖片可放大）

即使這個搜尋結果頁面看起來相當逼真，但是點擊上面的連結卻不會連到那些網站，只會跳出新的網頁視窗。我們推斷這些應是廣告視窗，在撰寫這篇文章時，那些彈出式視窗的內容都是空白的，這很可能是因為遠端伺服器被關閉所導致。


（點擊圖片可放大）

我們將這支最新發現到的 Mac 木馬程式，命名為「Trojan:BASH/QHost.WB」。

（由 Brod 進行分析研究）

來源：F-Secure Weblog