2011年10月4日 星期二

[新聞稿] F-Secure:Mac用戶看文件要小心,是PDF還是木馬程式?

F-Secure發現的惡意程式嵌入在PDF文件中,讓Mac用戶無法察覺它正在背後進行的可疑活動

(2011年10月4日,台北訊)芬蘭防毒軟體公司F-Secure(芬安全)發現,Mac用戶可能遇到了新的木馬程式,它偽裝成PDF文件,當用戶開啟後,就會被植入後門程式(Backdoor)。F-Secure推測,此木馬程式目前還可能處於「試水溫」的階段,尚未傳出明顯災情,並提醒Mac用戶仍須多加留意可疑的PDF檔案。



F-Secure總代理翔偉資安科技營運長杜世鵬表示:「我們很遺憾目前Mac用戶已經成為了駭客、木馬程式有興趣攻擊的族群,從目前病毒實驗室及病毒誘捕單位所得的資訊來看,現在針對Mac OS X的惡意程式數量及攻擊案件已逐漸地提高。雖然蘋果已致力於營造無毒的作業系統環境,但我們仍強烈建議台灣的Mac用戶能夠再多使用一層防護工具,以免發生個資遺失時所造成的遺憾。」

F-Secure將此惡意程式命名為「Trojan-Dropper:OSX/Revir.A」,它偽裝的PDF文件內容是一篇去(2010)年底流傳的文章,內容包含中國相關的政治議題。這種惡意程式本來可能嘗試要採用入侵Windows的方法,就是將一個PDF檔案的副檔名改為「.pdf.exe」,並且將檔案圖示改成PDF的檔案圖示。

但是,這支木馬程式的樣本卻沒有這樣的副檔名或圖示,其原因可能是Mac作業系統之中,圖示儲存在另一個位置,用戶無法直接看到;同時,也有可能是病毒樣本在上傳的時候就已經遺失了。這代表此惡意程式,可能比起其他類似手法的Windows惡意程式還來得更加難以捉摸,因為它可以使用任何它想要的副檔名。

當用戶打開該PDF文件之後,惡意程式便會在背景自動安裝一個名為「Backdoor:OSX/Imuler.A」的後門程式,但截至目前為止,它對應的伺服器還不具有與後門程式連線的能力。該伺服器的網域是在今(2011)年3月21日註冊的,並且在今年的5月21日曾經更新過。

F-Secure病毒實驗室表示,「由於此惡意程式的樣本是從我們從VirusTotal所蒐集到的,我們還不能完全確定它是用什麼方法來散播。我們推測最有可能的方式,是通過電子郵件的附件發送。惡意程式作者這一次可能只是試試水溫,看看該樣本是否能被不同的防毒軟體廠商檢測得到。」

更多實用的資安訊息,歡迎訂閱F-Secure芬安全資安部落格:http://f-secure-taiwan.blogspot.com

關於F-Secure
F-Secure芬安全是全球電腦與行動裝置雲端安全領導品牌,無論您是使用電腦或智慧型手機,我們能確保您最重視的資料受到完整的安全保護。F-Secure於全球各地與超過200家電信業者合作提供服務,並擁有數億家庭與企業用戶的信任。F-Secure自1988年成立,總部設於芬蘭赫爾辛基市(Helsinki),已於1999年在NASDAQ OMX赫爾辛基證券交易所上市。歡迎造訪F-Secure網頁:http://www.f-secure.com

關於翔偉資安科技
翔偉資安科技為芬蘭國際級防毒領導品牌F-Secure芬安全大中華區總代理,提供端點系統安全進階技術服務與顧問輔導。藉由長期培育的專業工程團隊及客服支援中心,已連年贏得廣大企業客戶、政府機關與學校的肯定,翔偉資安科技代理之F-Secure產品目前已第四年獲得台灣銀行(中信局)共同供應契約合作。翔偉資安科技是台灣最大連鎖紙張供應商賢記紙業集團之關係企業。歡迎造訪翔偉資安科技網頁:http://www.sunwai.com

新聞聯絡人
徐仲威
02-2711-6930 分機117
cw.hsu@sunwai.com

0 意見:

張貼留言