WireLurker 之后，谈谈与 Mac 电脑的病毒发展史

11 月 6 日晨，根据国外著名媒体 站 MacRumors公布的资料得知，中国地区很多 Mac、iOS 用户遭遇名为 WireLurker 的恶意软件（恶意代码）侵扰，再经过消息源头Paloalto Networks的具体分析，获悉得知，这些恶意行为几乎都来自国内一个叫「麦芽地」的果粉论坛，而该 站的一篇文章则表示了委屈和强烈的不满（详见此文）。对于这次事件，我的个人观点无法做到客观、公正，但至少我可以独立地评价一下：呵呵。

既然事情已经发生（其实可以追溯到 6 个月前），倒不如以解决问题为首要目标，妥善了结并预防此类现象的再度发生。如果你从来没接触过，且电脑确实未曾安装过盗版、非法客户端，那么自然而然不必产生担心；反之，笔者建议你使用少数派昨天介绍的 检测教程来探测电脑是否受到感染？

若命令最后的显示内容为「Your OS X system isn’t infected by the WireLurker」，那么你的电脑暂且相安无事，我能提供的建议就是：

1. 删除所有非正版客户端，并在将来也不再接触它们。
2. 若命令的前标出现了 [!]字样，请删除关联的文件，并检查已越狱的 iOS 设备是否也受到感染，具体方法为：删除 CS 插件目录下的 sfbase.dylib 文件即可（此方法来自微博）。

苹果 Mac 电脑的病毒发展史

作为一家历史悠久的 IT 巨头公司，Apple 经历过的每款操作系统，都免不了「第三者」的插足，这里指借系统漏洞实施非法行为的操作。正是在这些问题的「洗礼」下，如今的 OS X 操作系统已经拥有了相当可观的安全性，并伴随着此次事件的发生，其可靠程度将会再一次得到提升。

接下来我们不妨以 WireLurker 为首，并在之后按照由前至后的时间顺序，一步步了解那些苹果电脑遇到过的「风尘」往事，感兴趣的读者千万别错过了！

（声明：以下部分内容翻译 & 摘取自 nakedsecurity、welivesecurity及 易科技）

1. WireLurker

2014 年，WireLurker 出现在源头为「麦芽地」 站封装的盗版 App 中，在 6 个月的时间内，这些被感染对象的总下载量超过了 35,000 次，受众者大多为中国地区用户。除了私自上传用户数据外，WireLurker 还可以通过 USB 端口，间接感染 iOS 设备，甚至对未越狱的设备也同样奏效。虽然影响到的设备数量较多，但由于其本身的传播途径受限，因此现在预防还来得及。

2. nVIR

1987 年，nVIR 病毒通过软盘广泛传播，受影响的系统版本为 4.1 ~ 8.0 等。由于病毒的源代码被公布，故导致了多个变种版本的诞生，严重危害到 Apple 电脑的安全性。有趣的是，类似的现象还发生在 MS-DOS 平台，且同样由软盘传递病毒。根据现象和时间可得出结论，nVIR 或许是多种病毒的最初体。

3. Concept

1995 年，又一种同时影响到 PC/Mac 的病毒诞生：Concept。只要启动被感染的 CD 或打开被感染的文档，病毒就会被立即激活。主要现象为：通过对 Word 通用模版 NORMAL.DOT 的扫描判断执行条件，如果其中已存在宏「Payload」或「FileSaveAs」，病毒就会停止执行；否则，病毒就会拷贝宏文件并显示一个对话框。虽说它不会带来非常严重的后果，但却为这样的行为作了一个「很好的榜样」。

4. AutoStart 9805

1998 年，一种绰 为 AutoStart 9805 的蠕虫病毒在香港被发现，它通过拷贝隐藏病毒至各磁盘分区，进而大范围地影响磁盘（甚至包括关联的外接设备），改写并随机注入未知数据，使得操作系统停止工作。受影响的对象为：运行 Mac OS 的 PowerPC 设备，并同时安装有 QuickTime 2.0 版本。

5. Renepo

2004 年，基于脚本语言开发的蠕虫病毒 Renepo（又称 Opener）肆虐 OS X 平台，被感染设备的防火墙会被完全关闭，接着自动下载 Hacker 制作的破解工具，并间接获得系统的 Admin 最高权限，最终被远程控制。

6. OSX.RSPlus.A

2007 年，又一处严重的 OS X 系统漏洞被发现。当用户在非法成人站点上点击图片准备浏览视频时，站点会显示一条消息，告知用户 QuickTime Player 播放器需要更新。这时木马就会根据用户的电脑配置，自动完成下载和安装。最后，木马程序会以 root 权限（最高权限）安装，而不必受用户设置的账户密码的限制，从而通过改变系统的 DNS 服务器配置将用户牵引至钓鱼 站上。

7. HeartBleed

2014 年，心脏出血漏洞，也简称为心血漏洞，是一个出现在开源加密库 OpenSSL 的程序错误。该漏洞通过读取 络服务器内存，访问敏感数据，从而危及服务器及用户的安全。这是近年来影响范围最广的一次全球互联 安全事件，受害者包括 Amazon, Ars Technica, Github, Mojang, SoundCloud, Tumblr, Wunderlist 等知名站点。

8. Rootpipe

2014 年，瑞典研究人员埃米尔·科瓦汉马尔（Emil Kvarnhammar）称，他发现苹果最新的 OS X 操作系统 Yosemite 存在一个新的重大漏洞，他将其称作 Rootpipe。这个漏洞可让攻击者获得受害者电脑的 root 权限，进而窃取个人信息、运行他们发布的自有程序。

事实上到目前为止，还没有证据显示该漏洞实际上有被利用过，因为用户一般都能发现相关的安全提醒。无论消息可靠与否，苹果目前在针对 Rootpipe 漏洞制作补丁，相信不久后就能得到弥补。

最后

如果把「正版应用」作为对象写一首打油诗，送给读者，那我会这么编词：

不会装说明你菜，不会用说明你弱，买不起说明你穷，养不起说明你虚；

会安装说明你棒，会使用说明你智，买得起说明你壕，养得起说明你富。

如果你愿意成为哪部分人群，我没有资格说服与劝解，但至少应该积极向上一些，不是嘛？