以下就是 Flashback.C 關閉 XProtectUpdater 的步驟:
1. 首先 Flashback.C 會找到 XProtectUpdater 的 .plist 檔案,並將其解密。(.plist 檔案全名為 Property List,是 Mac 系統中記錄程式設定的檔案)
2. Flashback.C 也會找到 XProtectUpdater 的 binary,並將其解密。
3. Flashback.C 會自動將 XProtectUpdater 關閉。
4. 最後,Flashback.C 會用一個空白字元,覆寫 XProtectUpdater 檔案。
Flashback.C 覆寫了 XProtectUpdater 的 Plist 檔案
Flashback.C 覆寫了 XProtectUpdater binary
以上步驟,說明了惡意程式能夠在 Mac 平台上刪除指定的檔案,並能夠運用此 Windows 常見的技巧來防止 Mac OS X 內建的防毒功能進行自動更新。
F-Secure 大中華區總監表示:「事實上,內建的防毒功能很自然會成為惡意程式開發者第一個針對的對象,亦間接說明了惡意程式開發者開始對 Mac 平台虎視眈眈,我們會密切留意事態的發展。」
來源:
F-Secure Hong Kong & Macau
F-Secure Weblog
0 意見:
張貼留言