正在阅读：卡巴斯基安全中心：发现Mac新型后门程序卡巴斯基安全中心：发现Mac新型后门程序

　　最近新发现的Flashfake木马感染了大量Mac计算机，其组成的僵尸网络规模超过70万台计算机。这可以算作Mac OS X系统漏洞被利用得最成功的一次。但是，这款恶意软件并不是孤军作战的。卡巴斯基实验室的研究人员最近还发现了另一种针对Apple计算机进行攻击的恶意程序，并最终确认这种恶意程序为一种高级可持续性威胁。同Flashfake不同，最新发现的恶意软件为Backdoor.OSX.SabPub.a.该恶意软件充分展现了网络罪犯是如何完全控制包含漏洞的Apple计算机的。

　　最新的后门程序于2012年4月初被发现，同Flashfake一样，该后门程序同样会利用Java 虚拟机的漏洞进行感染。感染该恶意软件的计算机数量相对较少，表明该后门程序主要用于针对性攻击。该恶意软件在受感染系统上激活后，会自动连接远程网站等待指令。该后门程序的命令控制服务器位于美国，并且使用一种免费的动态DNS服务来处理受感染计算机发送的请求。

　　后续的事件表明SabPub的最初理论其实是某次针对性攻击的一部分。卡巴斯基实验室的专家设置了一个假冒的受感染计算机，并利用该后门程序对其进行感染。4月15日，卡巴斯基实验室专家发现了某些不寻常的行为，网络攻击者获取到该受感染计算机的控制权限，并且开始对该计算机进行分析。他们发送命令，浏览了该计算机的root内容和Home Folder内容，甚至下载了一些储存在系统上的假冒文档。这些分析过程很可能是手动执行的，而没有采用自动系统，所以使用的不可能是常见的传播较广的恶意软件。正是基于这些事实，我们可以判定该后门程序是一种正在被使用的高级可持续性威胁。

　　对此后门程序分析过程中，我们又发现该恶意软件的感染途径同样表明其主要用户针对性攻击。卡巴斯基实验室的研究人员发现六个Microsoft Word文档，其中均包含漏洞利用程序。其中有两个文档会释放SabPub恶意代码。如果在包含系统漏洞的计算机上运行其它四个文档，同样会感染另外一种针对Mac系统的恶意软件。此外，SabPub和另一起名为LuckyCat的基于Windows计算机的针对性攻击关系密切，表明这两次网络攻击行为的源头是一致的。

　　卡巴斯基实验室的首席安全专家Alexander Gostev认为：“SabPub后门程序的出现再次表明没有一款软件环境是不包含安全漏洞的。虽然Mac OS X系统下的恶意软件数量相对较少，但并不意味着该平台的保护措施更到位。最近的Flashfake和SabPub事件表明存储在未加保护的Mac计算机上的用户数据同样面临风险。造成这一现象的原因可能是网络罪犯意识到Mac计算机的市场份额有所上升，也可能他们是受人雇佣，专门针对Apple计算机发动攻击。”

　　目前，卡巴斯基Mac反病毒软件2011已经能够检测和清除Backdoor.OSX.SabPub.a后门程序以及相关漏洞被利用的程序。