任何宣称这并不是什么大事情的人都会被公众嗤之以鼻。对于苹果来说，该事件已经彻底破坏了操作系统支持服务的平稳正常运行。为了消除攻击造成的不利影响，苹果不得不以公开发布安全补丁更新，并在即将发布的新操作系统中内置恶意软件检测和清除功能这种前所未有的方式给与回应。实际上，进行这么大规模的系统级调整不仅非常复杂，耗费的资金也相当高昂。

　　这是一起令人非常困惑的案例，实际情况随着时间推移不断发生着变化。对于希望了解其中细节的读者来说，本文提供的时间表应该能够提供一定的帮助。它包含了我针对该事件撰写的所有文章，采用的是时间顺序排列，并包含了相关注释。(我还提供了一篇内容非常出色的第三方文章链接。)

　　通过该时间表，大家就可以更好地认识到攻击是如何发展变化的。读者只要点击相关链接，就可以了解到更详细的内容。

　　苹果用户即将遭遇危险的恶意软件

　　2011年5月2日上午9时42分　美国太平洋时间

　　由于在市场方面获得巨大成功，苹果产品已经引起恶意软件开发者的重视。来自丹麦信息安全公司的调查报告显示，某地下团体已经开发完成一套专门针对苹果平台功能全面的恶意软件工具包。

　　为什么说针对苹果用户的恶意软件马上就将出现

　　2011年5月5日深夜12时2分　美国太平洋时间

　　正在进行攻击的人并不属于精英黑客——这些暴徒使用的是从流氓程序员那里购买的点击式恶意软件开发工具包。从目前的情况来看，这确实属于一个蒸蒸日上的产业。很多合法软件企业，都已经将自身命运交付到Windows平台上。毕竟，压倒一切的市场份额就意味着摇钱树的位置。

　　【......】

　　尽管从表面上来看，苹果占据的市场份额只有几个百分点，并不算太多;但我们不要忘记互联网已经成为包含有十亿台联网设备的超级市场这一大前提，也就是说仅仅小小的一个百分点已经相当于1千万潜在受害者之众。对于坏蛋们来说，包含了6千万、8千万甚至1亿苹果用户的市场已经足够大了。

　　【......】

　　我的预测就是坏蛋们正在对“市场情况进行评估”，并且将寻找合适时机来闪亮登场。我估计，在此之前将会有一系列试探性攻击出现，紧接着所有人都会遭遇到全面的攻击。问题的麻烦之处就在于，在这一市场中，苹果用户所处的位置不是可以作出选择的消费者而是任人宰割的鱼肉。

　　最新图集之公开发作的苹果恶意软件篇

　　2011年5月6日深夜12时39分　美国太平洋时间

　　当前针对苹果用户的恶意软件攻击看起来象什么

　　2011年5月6日中午1时9分　美国太平洋时间

　　实际上，这起攻击看起来更象一次试探性的动作，我不认为大部分用户会受到影响。但如果大家因为威胁程度不是那么高而刻意忽略其存在的话，就属于一叶障目不见泰山了，应用涉及的开发技术不佳并不等于它不会对整个计算平台带来真正的威胁。

　　【......】

　　而且大家都明白坏蛋们的技术水平会随着时间的推移而不断获得提高。尽管这起攻击的技术水准可能非常初级，但这并不意味着下一起也将会是如此。我遇见过几起非常成功的钓鱼式攻击。对于技术娴熟的盗窃团伙来说，利用这一模式可以找出技术水平较低的苹果用户，并伪装成可以提供紧急技术支持的朋友或者同事来达到攻击目的。

　　苹果技术支持人员声称恶意软件导致的威胁等级“正在上升”

　　2011年5月18日凌晨5时21分　美国太平洋时间

　　上周末，我收到一封来自苹果技术支持人员的邮件，具体内容是针对最近发表的认为苹果恶意软件已经公开发作文章作出的回应。在苹果社区的讨论中，至少有一种流行的观点不支持宣称这些文章属于“鼓吹狼来了”杞人忧天的想法。来自苹果呼叫中心的内部人士证明了威胁的现实存在：“我可以告诉你一项事实，这就是越来越多的用户开始遭遇攻击了。”

　　5月19日，来自Ars Technica的郑雅基发表了一篇题为《苹果遭遇恶意软件攻击是否会引起公众关注?》的文章。在文中，他对攻击涉及的大量具体细节进行了确认：

　　在苹果授权校园店工作的技术支持专家卡尔说出了自己的意见。他告诉Ars：“在本月初之前，我从来没有进行过从苹果机上删除病毒或者恶意软件的处理。而现在，已经出现了少量用户因为机器遭遇苹果后卫攻击不得不前来寻求帮助的情况。”

　　【......】

　　对于大型店来说，实际情况也开始变得更坏。这是我们与另一位名叫安迪的苹果技术支持人员进行了交流后得出的结论。他所在的店每星期可以为数千名麦金塔用户提供服务。安迪指出：“我们已经发现感染恶意软件的用户数量正不断上升的问题。”并进一步补充说，以前仅仅只有0.2%的用户会因为疑似恶意软件问题而寻求帮助——“通常情况下，原因基本上都是由于遭遇DNS木马造成的。”

　　而在过去的三星期中，实际情况已经发生了翻天覆地的变化。现今，前来安迪所在店寻求帮助的用户中有5.8%的属于恶意软件引起的问题，并且几乎都与苹果后卫或者其变种有关。

　　狼真的来了么?苹果支持论坛确认恶意软件爆发事件

　　2011年5月18日上午11时　　美国太平洋时间

　　昨天，我在discussions.apple.com上花费了几小时的时间，目的是收集已经遭遇恶意软件攻击的苹果用户寻求帮助类信息。结果发现至少有二百多条独立的发言与此相关，大部分都是由被该软件感染急切地希望将其删除的用户发布的。事件的起始点是4月30日发表的四篇文章;在刚刚过去的周末中，一共出现了42条涉及该问题的新发言。

　　我对于苹果论坛并不陌生，在以前就进行过类似搜索的操作;尤其是2008年的时间读到了格鲁伯发出呼吁的那些文章之后。原来，我从来没有遇到过高于一两份扩散报告的情况。而今天，数量则变得不可想象的高。

　　苹果提醒客户支持人员：“不要试图删除恶意软件”

　　2011年5月19日凌晨5时　美国太平洋时间

　　在昨天的文章中我已经指出，针对苹果后卫恶意软件发起的攻击，苹果正在内部开展积极的调查工作......从一份内部文件的最新修改时间为2011年5月16日(星期一)这一信息中，我们可以确认这应该属于“正在进行中的讨论和调查。”

　　该文件(如下所示)的内容是：在接待由于本次特定攻击而前来寻求帮助的用户时，技术支持人员需要遵循的具体准则以及应该执行的正确处理步骤。

　　【......】

　　l 对于系统中是否存在此类软件的询问，正确的答复应该是既不承认也不否认。

　　l 禁止进行任何尝试删除或卸载恶意软件的操作。

　　l 禁止基于删除该软件或提供受影响数据的目的向上级技术支持发送紧急信息或者进行联系的行为。

　　l 禁止将用户推给苹果零售商店。苹果零售商店不提供任何防范恶意软件的额外支持。

　　苹果再次提醒客户支持人员：“不要为恶意软件提供方便”

　　2011年5月23日深夜11时49分　美国太平洋时间

　　对于攻击波及的实际范围已经有多大这一问题，公众非常关注。但由于苹果一直保持沉默，这让大家无法获知确切的数字。不过，苹果负责技术支持的部门告诉过我，每天接到的求助电话数量在一到两万之间。现在，如果我们假设其中25%的电话是与此相关，并考虑到这种情况已经持续了25天之久，就可以得出受到影响的用户总数在6万到12.5万之间，并且呈现出持续增长态势的结论。

　　美国太平洋时间5月24日下午4时30分的更新：苹果已经在网站上发布了指导用户防范和删除苹果后卫恶意软件的解决方案。在文章开头，它是这么说的：

　　苹果公司已经作出了决定，在接下来的时间里会对OS　X系统进行更新，这将实现自动查找和删除苹果后卫和已知变种的功能。本次更新还实现了利用在下载恶意软件时发出明确警告的形式为用户提供保护的功能。

　　苹果恶意软件开发者发布更危险的新版本

　　2011年5月25日深夜12时5分　美国太平洋时间

　　在苹果发表公开声明的12小时后，原版苹果后卫的开发者又发布一个新变种。它可以绕开现有预防工具的核心功能部分。

　　【......】

　　新架构看起来就象是针对苹果后卫安全注意事项一文的具体回应。在文中，苹果指出：“在某些情况下，浏览器可能会自动下载该恶意软件并启动安装进程。如果用户遭遇到这种情况的话，正确的选择应该是直接取消安装过程，绝对不要输入管理员密码。”

　　而在新架构中，只要用户是利用管理员账户登录的，恶意软件在进行安装时就不再需要输入密码。这可能麻痹用户，让自以为安全的人们成为潜在受害者。

　　恶意软件开发者在数小时内就绕过苹果新防病毒签名

　　2011年5月31日下午1时59分　美国太平洋时间

　　上星期，在被苹果后卫和苹果卫士等恶意软件疯狂攻击了一个月后，苹果终于发布了先前许诺的安全更新。该更新将苹果系统中不起眼的安全功能提升到非常接近全功能防病毒软件的等级。

　　安全性更新2011-003中包含了从雪豹系统就开始提供的文件隔离功能，以及针对通过网络浏览器、电子邮件和其它常见方式下载的文件进行防恶意软件监测的工具。该更新可以识别出苹果后卫以及已知变种，并自动进行清除处理。它仅仅支持雪豹的最新10.6.7版本。显然，早期版本的OS　X系统没有被包括在内。

　　【......】

　　这就是结束的开始，未经编辑的“先前”视频展示出苹果卫士是如何伪装成为防病毒软件，并利用看似正常的谷歌搜索结果在短短的三次点击后侵入到系统里的。在这一过程中甚至不需要用户输入密码。在该视频中，展示系统使用的是最新版本的OS　X　10.6以及默认设置的Safari浏览器。

　　为什么Windows用户也应该关心苹果恶意软件

　　2011年6月6日凌晨5时17分　美国太平洋时间

　　正如我在上星期所说的，苹果正在与坏蛋们玩一场令人沮丧的猫捉老鼠游戏。在上星期发布的安全性更新2011-003中，他们为OS　X　10.6.7提供了一套名为XProtect可以每天进行更新的新恶意软件检测工具。现在，六天的时间已经过去，更新操作也进行过六次。但每一次更新完成后，苹果后卫的开发者都会在几小时内对软件进行更新，绕过基于已有数字签名的监测。

　　【......】

　　因此，每天都会有新受害者来到苹果支持论坛寻求帮助。在昨天进行的概略搜索中，我发现了十几起关于遭遇苹果后卫变种的最新报告。

　　【......】

　　问题的关键在于，目前全球共有10亿台PC和5千万台苹果机。即便看似微小0.01%(每万人中有一位)的成功率，也意味着坏蛋们可以每月获得超过50万的收入。这还没有将他们盗窃和复用信用卡号码获得的利润计算在内。

　　在打击恶意软件方面苹果做的工作是否足够?

　　2011年6月19日下午4时36分　美国太平洋时间

　　由于仅仅只能防范来自苹果后卫的单一威胁，因而在安全性更新2011-003中提供的反恶意软件功能显然属于头痛医头脚痛医脚的临时解决方案。除非苹果对Safari中存在的安全缺陷保持足够重视，否则公众就很难认为他们是真心想解决这一问题。

　　我依然相信苹果后卫攻击属于坏蛋们的一次巨大成功。由于采用了非常出色的社会化工程模式，我敢肯定它已经获得了足够数量的非法资金来进行下一阶段的开发工作。

　　大家要明白，这是苹果平台有史以来第一个恶意软件工具包。它的下一个版本将在对安全性更新2011-003有着充分认识的情况下进行开发。坏蛋们可以让苹果花费数星期时间来进行应对。这就意味着苹果后卫的新版本将非常危险。

　　苹果恶意软件将走向何方?

　　2011年8月1日凌晨3点　美国太平洋时间

　　按照个人对观察结果的分析，我认为实际情况应该是该恶意软件已经完成了预定工作。苹果反击行动带来的影响不大。更重要的原因应该是，谷歌针对中毒搜索结果的检测和阻止力度进一步加强，从而降低了苹果后卫安装的成功率。在6月19日针对苹果反击行动的分析中，我就指出了攻击高潮已经过去，并预计将很快结束：

　　【......】

　　并且，现在确实已经有了一些粗略的证据可以表明苹果恶意软件发起的下一波攻击会是什么样子。

　　6月16日，有人往VirusTotal网站上传了一个压缩文件请求进行分析。它被42种防病毒引擎中的4种确定为通用Windows密码盗窃和键盘记录类木马。直到几星期后，更有趣的细节才被发现;在微软恶意软件防护中心(MMPC)的安全研究人员对文件内容进行了仔细研究后，才确定它是由两个工具包组成的——一个用于支持Windows系统，另一个用于支持OS　X系统。