恶意软件攻击剖析：苹果后卫从爆发到平息的完整时间表

　　苹果再次提醒客户支持人员：“不要为恶意软件提供方便”

　　2011年5月23日深夜11时49分　美国太平洋时间

　　对于攻击波及的实际范围已经有多大这一问题，公众非常关注。但由于苹果一直保持沉默，这让大家无法获知确切的数字。不过，苹果负责技术支持的部门告诉过我，每天接到的求助电话数量在一到两万之间。现在，如果我们假设其中25%的电话是与此相关，并考虑到这种情况已经持续了25天之久，就可以得出受到影响的用户总数在6万到12.5万之间，并且呈现出持续增长态势的结论。

　　美国太平洋时间5月24日下午4时30分的更新：苹果已经在网站上发布了指导用户防范和删除苹果后卫恶意软件的解决方案。在文章开头，它是这么说的：

　　苹果公司已经作出了决定，在接下来的时间里会对OS　X系统进行更新，这将实现自动查找和删除苹果后卫和已知变种的功能。本次更新还实现了利用在下载恶意软件时发出明确警告的形式为用户提供保护的功能。

　　苹果恶意软件开发者发布更危险的新版本

　　2011年5月25日深夜12时5分　美国太平洋时间

　　在苹果发表公开声明的12小时后，原版苹果后卫的开发者又发布一个新变种。它可以绕开现有预防工具的核心功能部分。

　　【......】

　　新架构看起来就象是针对苹果后卫安全注意事项一文的具体回应。在文中，苹果指出：“在某些情况下，浏览器可能会自动下载该恶意软件并启动安装进程。如果用户遭遇到这种情况的话，正确的选择应该是直接取消安装过程，绝对不要输入管理员密码。”

　　而在新架构中，只要用户是利用管理员账户登录的，恶意软件在进行安装时就不再需要输入密码。这可能麻痹用户，让自以为安全的人们成为潜在受害者。

　　恶意软件开发者在数小时内就绕过苹果新防病毒签名

　　2011年5月31日下午1时59分　美国太平洋时间

　　上星期，在被苹果后卫和苹果卫士等恶意软件疯狂攻击了一个月后，苹果终于发布了先前许诺的安全更新。该更新将苹果系统中不起眼的安全功能提升到非常接近全功能防病毒软件的等级。

　　安全性更新2011-003中包含了从雪豹系统就开始提供的文件隔离功能，以及针对通过网络浏览器、电子邮件和其它常见方式下载的文件进行防恶意软件监测的工具。该更新可以识别出苹果后卫以及已知变种，并自动进行清除处理。它仅仅支持雪豹的最新10.6.7版本。显然，早期版本的OS　X系统没有被包括在内。

　　【......】

　　这就是结束的开始，未经编辑的“先前”视频展示出苹果卫士是如何伪装成为防病毒软件，并利用看似正常的谷歌搜索结果在短短的三次点击后侵入到系统里的。在这一过程中甚至不需要用户输入密码。在该视频中，展示系统使用的是最新版本的OS　X　10.6以及默认设置的Safari浏览器。

　　为什么Windows用户也应该关心苹果恶意软件

　　2011年6月6日凌晨5时17分　美国太平洋时间

　　正如我在上星期所说的，苹果正在与坏蛋们玩一场令人沮丧的猫捉老鼠游戏。在上星期发布的安全性更新2011-003中，他们为OS　X　10.6.7提供了一套名为XProtect可以每天进行更新的新恶意软件检测工具。现在，六天的时间已经过去，更新操作也进行过六次。但每一次更新完成后，苹果后卫的开发者都会在几小时内对软件进行更新，绕过基于已有数字签名的监测。

　　【......】

　　因此，每天都会有新受害者来到苹果支持论坛寻求帮助。在昨天进行的概略搜索中，我发现了十几起关于遭遇苹果后卫变种的最新报告。

　　【......】

　　问题的关键在于，目前全球共有10亿台PC和5千万台苹果机。即便看似微小0.01%(每万人中有一位)的成功率，也意味着坏蛋们可以每月获得超过50万的收入。这还没有将他们盗窃和复用信用卡号码获得的利润计算在内。

　　在打击恶意软件方面苹果做的工作是否足够?

　　2011年6月19日下午4时36分　美国太平洋时间

　　由于仅仅只能防范来自苹果后卫的单一威胁，因而在安全性更新2011-003中提供的反恶意软件功能显然属于头痛医头脚痛医脚的临时解决方案。除非苹果对Safari中存在的安全缺陷保持足够重视，否则公众就很难认为他们是真心想解决这一问题。

　　我依然相信苹果后卫攻击属于坏蛋们的一次巨大成功。由于采用了非常出色的社会化工程模式，我敢肯定它已经获得了足够数量的非法资金来进行下一阶段的开发工作。

　　大家要明白，这是苹果平台有史以来第一个恶意软件工具包。它的下一个版本将在对安全性更新2011-003有着充分认识的情况下进行开发。坏蛋们可以让苹果花费数星期时间来进行应对。这就意味着苹果后卫的新版本将非常危险。

　　苹果恶意软件将走向何方?

　　2011年8月1日凌晨3点　美国太平洋时间

　　按照个人对观察结果的分析，我认为实际情况应该是该恶意软件已经完成了预定工作。苹果反击行动带来的影响不大。更重要的原因应该是，谷歌针对中毒搜索结果的检测和阻止力度进一步加强，从而降低了苹果后卫安装的成功率。在6月19日针对苹果反击行动的分析中，我就指出了攻击高潮已经过去，并预计将很快结束：

　　【......】

　　并且，现在确实已经有了一些粗略的证据可以表明苹果恶意软件发起的下一波攻击会是什么样子。

　　6月16日，有人往VirusTotal网站上传了一个压缩文件请求进行分析。它被42种防病毒引擎中的4种确定为通用Windows密码盗窃和键盘记录类木马。直到几星期后，更有趣的细节才被发现;在微软恶意软件防护中心(MMPC)的安全研究人员对文件内容进行了仔细研究后，才确定它是由两个工具包组成的——一个用于支持Windows系统，另一个用于支持OS　X系统。