2011年8月11日 星期四

F-Secure發現新Mac木馬藏身假Flash安裝檔,感染後將導致Google搜尋被綁架失效

作者:F-Secure ThreatSolutions


我們在 Mac OS X 上發現一個假的 FlashPlayer.pkg 安裝檔(MD5: 1fc90b8f532028805d167b2b0ac9ce11),用戶一旦安裝這個Flash安裝檔就會被植入木馬,修改系統內的 Hosts 檔案,綁架Google搜尋引擎的網站。當你要連上Google搜尋引擎時,例如:Google.com.tw、Google.com.tl 等,都會被引導到「假的Google網站」,外觀是幾可亂真。

根據分析,提供假的Google頁面的伺服IP位置來自荷蘭:91.224.160.26。舉例來說,下面這是未中毒前連上 Google.com.tw 的樣子,看起來相當正常:


(點擊圖片可放大)

然後地,這是中毒後連上 Google.com.tw 的樣子,你可以發現樣子不太一樣了,但乍看之下來是很像。


(點擊圖片可放大)

在這個假的 Google.com.tw 頁面可以進行搜尋,不過搜尋出來的結果都會是假的。下面這張圖片,是未中毒前在 Google.com.tw 上所執行搜尋的結果:


(點擊圖片可放大)

接著,這是中毒後所搜尋出來的畫面:


(點擊圖片可放大)

即使這個搜尋結果頁面看起來相當逼真,但是點擊上面的連結卻不會連到那些網站,只會跳出新的網頁視窗。我們推斷這些應是廣告視窗,在撰寫這篇文章時,那些彈出式視窗的內容都是空白的,這很可能是因為遠端伺服器被關閉所導致。


(點擊圖片可放大)

我們將這支最新發現到的 Mac 木馬程式,命名為「Trojan:BASH/QHost.WB」。

(由 Brod 進行分析研究)

來源:F-Secure Weblog

0 意見:

張貼留言