闪回木马是为OSX开发的一个相当新的恶意软件包,它试图通过在OSX系统上向Web浏览器和其他应用程序注入代码来窃取个人信息。 当这些程序被启动时,恶意代码试图联系远程服务器并将截图和其他个人信息上传到它们。
这种恶意软件最初是在2011年9月发现的,当时它被作为一个假的FlashPlayer安装程序(因此它的“闪回”名称)分发。 在过去的几个月里,它已经发展到利用Java漏洞来针对Mac系统。
虽然最近的Flashback恶意软件变体所使用的漏洞是针对旧的修补漏洞的,但在周末,另一个变体出现了,它似乎利用了Java漏洞(CVE-2012-0507),而Java漏洞目前在OSX中没有匹配。
对于安装了Java的OSX系统,只需访问包含恶意软件的恶意网站就会导致两种安装路线之一,这两种安装路线都是恶意软件先前变体的特征。 首先,它将要求管理员密码,如果提供,它将将其有效负载安装到/Applications文件夹中的目标程序中。 但是,如果没有提供密码,那么恶意软件仍然将安装到用户帐户,在那里它将以更全局的方式运行。
虽然苹果公司确实有一个内置的恶意软件扫描仪,名为XProtect,它将捕获Flashback恶意软件的一些变体,但这个扫描仪不会检测到Java运行时正在执行的文件,因此这些最新的Flashback变体绕过了这种保护模式。
这种XProtect的缺点,加上目前尚未安装的OSX的Java,可能是值得关注的;然而,在大多数情况下,Mac用户应该相对安全。 从OSX10.7Lion开始,苹果停止了包含带有OSX的Java运行时,因此如果您已经购买了带有OSX10.7.0或更高版本的新系统,或者已经格式化并重新安装了Lion,那么默认情况下,您将不会受到此恶意软件的影响。
但是,如果您的系统上确实安装了Java,那么目前防止此恶意软件运行的唯一方法是禁用Java。 这可以在Safari的Security Preferences中进行,也可以在Java Preferences实用程序中取消对Java运行时条目的检查。