木马假借Flash之名入侵Mac狮子系统

10月20日消息：现有木马冒充合法的Flash Player安装程序（名为“Flashback.A”），其目的是禁用默认Mac OS X的反恶意软件保护系统更新；造成系统开放手动安装其他恶意软件，无任何提示。

据F - Secure的安全研究人员发现，一种名为“Flashback.C”的木马可禁用苹果的内置XProtect反恶意软件自动更新组件（XProtectUpdater应用通过覆盖系统的二进制，检查更新）。 安全公司指出，禁用系统防御功能是恶意软件常见的手段。

研究人员于9月下旬发现，“Flashback.A” 木马伪装成一个Adobe Flash安装，企图欺骗Mac OS X用户安装该程序，以访问网络上基于Flash的内容。该木马主要目标为Mac OS X的狮子用户，因为苹果公司最新的桌面操作系统不预装Flash。

“Flashback.C”同样伪装成一个Flash安装包，在安装过程中试图说服用户，他们正在安装的是正版Flash。一旦安装完毕，Flashback.C将启动初次检查，以查看用户是否运行了Little Snitch防火墙程序。如果发现该防火墙程序，木马会自动删除。

木马伪装成Adobe Flash Player进入Mac OS X系统

该恶意软件将尝试连接中国的远程主机，以获得其他的安装文件和配置。 F - Secure公司指出，“远程主机激活后，很奇怪，目前尚未推送任何文件。”如果该站点变得活跃时，它可以提供一个有效载荷，该木马可以用它来禁用系统的自动更新，使用Safari或Firefox发送恶意代码，当浏览器重新启动时加载LSEnvironment变量。

为了以防止“Flashback”木马潜在感染，建议Mac用户以Adobe官网获得Flash Player，并禁用Safari浏览器选项中的“下载后打开文件”，以避免Safari自动运行从互联网上下载的文件。