[[122396]]

Palo Alto Networks的研究人員曝光了在中國(guó)第三方蘋(píng)果商店麥芽地傳播的惡意程序WireLurker，隨后其指令控制服務(wù)器就被關(guān)，而蘋(píng)果也撤銷(xiāo)了WireLurker使用的數(shù)字證書(shū)，WireLurker使用的證書(shū)來(lái)自湖南浪雄廣告裝飾工程有限公司。

惡意程序WireLurker不是托管在麥芽地而是中國(guó)的云儲(chǔ)存服務(wù)商。一旦用戶(hù)下載和執(zhí)行被感染的程序，它會(huì)在程序運(yùn)行前丟下多個(gè)可執(zhí)行庫(kù)和配置文件，它的一個(gè)指令控制服務(wù)器位于香港。WireLurker被認(rèn)為是主要針對(duì)Mac OS X和iOS系統(tǒng)，但研究人員剛剛在官方博客上報(bào)告發(fā)現(xiàn)了它的Windows變種，對(duì)Windows樣本的分析證實(shí)它比OS X版古老，也是設(shè)計(jì)感染iOS系統(tǒng)，但沒(méi)有OS X版成功。Windows樣本是一名叫ekangwen206的用戶(hù)上傳到百度云盤(pán)的(如圖)，共上傳 247個(gè)文件，其中180個(gè)數(shù)Windows軟件，67個(gè)是OS X應(yīng)用。百度云盤(pán)的下載統(tǒng)計(jì)顯示，這些木馬被下載了65,213次。所有的Windows樣本都是在一臺(tái) Windows XP電腦上編譯的。Windows和OS X用戶(hù)都可以使用Palo Alto Networks開(kāi)發(fā)的WireLurker Detector檢查電腦有沒(méi)有感染W(wǎng)ireLurker。