OSX.RSPlug.A木馬更改本機設定指向惡意DNS

對於蘋果公司的Mac系統而言，目前還沒有幾個能被駭客利用的漏洞。然而目前出現了一種新型木馬OSX.RSPlug.A，暴露出Mac系統的一處安全問題。

為Mac系統開發安全軟體的Intego公司發出警告說，他們在幾個色情網站中發現這種能夠感染Mac OS X系統的木馬。

當使用者在惡意網站上點選圖片想流覽視訊時，網站會顯示一則訊息，告知使用者的QuickTime Player播放器需要更新。此時木馬就會根據使用者的電腦配置，自動完成下載和安裝，該木馬程式會以root權限安裝，而不受限於使用者設置的帳戶密碼限制。

Intego在線上簡報中說明，“這種木馬是DNSChanger的變種之一，它採用了一種詭詐的方法，透過scutil指令改變Mac系統的DNS伺服器設定，一旦這個新的惡意DNS伺服器被啟用，就會篡改對一些網站的回應IP，把使用者引到一些釣魚網站上，或乾脆轉到一個顯示色情網站廣告的頁面。對於第一種情況，使用者可能會誤認為他們進入了合法的網站而輸入帳號密碼、信用卡號等，這些個人資訊會馬上被竊取。對於第二種情況，似乎這樣做可以增加點擊率，進而產生廣告收入。”

根據Intego的觀察，使用OS X 10.4（Tiger）系統的使用者無法看到DNS伺服器的變動，但是使用蘋果新作業系統OS X 10.5（Leopard）的使用者能夠在進階網路屬性的視窗中看到這種變動。

Intego還說，這種木馬還會安裝一個具有最高許可權的守護程式，這個程式會定期運行，每分鐘檢查一次DNS伺服器，確保惡意DNS伺服器始終被使用。

Intego公司在2007/10/31發佈的病毒定義能夠解決這個漏洞帶來的問題，對於使用者而言，避免安裝來自陌生網站上的軟體也有助於防止感染。