最近,芬兰保安软件公司 F-Secure 发现 Mac 有一个新形恶意软件,能够秘密摄取你Mac电脑显示中的资料,以及秘密录音,并自动上载至网上。而最特别的是,F-Secure 发现两个崭新的入侵方法,很有机会是恶意软件开发者证用来"试水温",确认新的入侵方法可行。
F-Secure认为是次发现入侵 Mac 机的恶意软件威胁不高,但这应该是用来"测试水温",让恶意软件开发者确认崭新的入侵方法可行。
F-Secure 亚洲区保安顾问吴树谦表示:"所谓道高一尺魔高一丈,恶意软件开发者要成功突破多重关卡,例如如何在网上大力散播、避免防毒软件的侦测、成功安装到用户的电脑、盗取资料并上载到指定伺服器、避免伺服器被人侦测到和关闭等等,都需要极多的智慧和创意。"
创新技巧一:右至左编码
当你观看文章,或者进行程式编辑,大多数情况下都是由左至右看文字。但在 Unicode 编码的世界,有个称为"RLO"(Right to left override) 的技巧,能提示电脑由右至左读取编码,以便显示正确的资料。
这次恶意软件开发者利用这个 Unicode 的特色,在档案名称中"加手脚",使 Mac OS X 误以为恶意软件执行档为一个PDF档案。用户下载有问题的档案后,Mac OS X 的Finder (档案管理)会显示档案为一 PDF 文件。可是,当用户打开它时,它会于背后自动执行多个动作,包括到 YouTube 查询一些资料 (较后部分会作解释)、下载及安装用作摄取用户的画面及秘密录音的程式 (安装时用户不会察觉到)、将画面和录音上载到网上,以及等待总指挥的指示去执行另一些行动。

用户打开档案后,恶意软件编码会执行,并会打开一个真的文件,让用户不能察觉背后有何特别
创新技巧二:将编码放到 YouTube
恶意软件如果被防毒公司发现,效用可能很快会消失。如果恶意软件的原意是偷取资料并上载到网上,恶意软件亦要将伺服器的资料放入编码,才能把档案上载。当伺服器被人发现而要搬位时,原有的恶意软件便不再有效。

F-Secure 大中华区总监李力恒表示:"这可以说明没有一个平台是绝对安全,恶意软件开发者会利用不同具创意的技巧去入侵用户的电脑。用户打开任何档案及程式,均必须小心,尽量避免打开不知名的文件程式。这次我们发现的恶意软件,正好证明毒药可以使用不同的糖衣作包装,用户根本不能靠外貌分辨。"
F-Secure 已将这个恶意软件定命为Backdoor:Python/Janicab.A。