防病毒软件厂商ESET发布了关于OSX/Flashback威胁的一篇技术分析文章。其曾在6个月前全面运转,但是ESET的一位专家表示现今该威胁已经“灭绝”。“我们已经看到Flashback木马的操纵者通过关闭最新的C&C(命令与控制)服务器放弃了对该僵尸网络的控制”,ESET公司的安全智能项目经理Pierre-Marc Bureau在一篇博客中写到。“看起来Flashback木马的操纵者没有发布任何新的二进制文件来规避侦测,也没有用新的架构来继续他们的运转”。
Flashback木马于2011年秋季被首次发现,因它在4月感染了超过50万台Mac计算机受到广泛的关注。ESET公司的技术分析文章《OSX/Flashback——首个感染成千上万苹果Mac计算机的恶意软件》描述了Flashback木马如何感染Mac OSX系统的计算机,并且分析了它的安装组件和库文件。该恶意软件以许多不同的方式感染受害人的机器,首个方法是伪装成Adobe Flash player的更新文件。Flashback木马还使用Java签名的applet,并且利用Java中两个不同的缺陷、即CVE-2012-0507或 CVE-2011-3544漏洞来感染用户的电脑。
这个位于斯洛伐克*首都布拉提斯拉瓦的防病毒软件厂商还注意到Mac用户通常没有认真对待他们机器的安全,Flashback木马触动了苹果和Java之间足以载入编年史的关系。“因为使用的是OS X系统,一些Mac用户认为他们是免疫于恶意软件的。当然,OS X的恶意软件威胁数量少于Windows系统的,但是他们不是不存在的“,该报告解读到。对于Mac系统来说Flashback木马也不是唯一的问题。今年Lamadai、MacControl以及 Crisis木马也给Mac用户带来问题。专家们将针对Mac系统的恶意软件威胁增长归咎于攻击这些机器后不断增长的红利。
当Flashback木马首次出现时,苹果公司不得不证实其存在、并且通过它的更新系统来发送更新文件。这意味着Oracle公司无法像在PC上一样在同一时间为Mac系统更新Java程序。为Mac系统的更新通常姗姗来迟,包括此次的Flashback木马案例。
Flashback木马触动到了Apple-Java之间关系的另一个变化。“苹果公司注册了所有连接到Flashback木马的可用域名,包括那些动态产生的。在那之后不久苹果为OS X系统开发更新文件来侦测Flashback木马,并且将其从系统中卸载”,ESET的分析报告表示。随着Mac OS X Lion(版本10.7)系统的首次亮相,苹果公司停止在它的操作系统上默认安装Java编译器。报告称其为“可能被看作是减少攻击途径的举动,也可能被理解为尝试避免更新软件超出其控制范围内。