大規模「木馬程式」正透過Email感染Mac,請依照此步驟處理

excluded

Mac 的安全性並非滴水不漏,能夠感染 Mac 的病毒數量之所以比 Windows 少上許多的主要原因之一,只是因為 Mac 的數量佔總體電腦數量的比例很低之故,關於「Mac 不會中毒」這件事,可以參考這篇文章:Mac不會中毒?或許你不該這麼自信滿滿了。隨著市場占比逐漸提高,駭客們也開始鎖定 Mac 族群,近日根據 Check Point Technologies 的安全專家指出,有一款名叫 Dok 的惡意軟體,正大規模地席捲 Mac 用戶。

Dok 為何這麼嚴重?

根據 Check Point 的報告,這款 Dok 病毒可以感染所有 OS X,而且尚無法被任何防毒軟體辨識出來,而且是第一個針對 OS X 用戶設計出來可以大規模擴散的病毒。Dok 透過偽造的蘋果開發者認證,躲避蘋果的Gatekeeper防禦機制,一但被成功感染,Dok 將會在你不知情的情況下擁有 Mac 的控制權。

 

Dok 是如何感染的

請不用太過擔心,Dok 並不是上上網、連個 Wi-Fi 就能夠感染的病毒。Check Point 表示,Dok 一開始是透過 Email 釣魚信件的方式感染,主要受害者集中在歐洲。當有用戶下載了釣魚信件內夾帶的 zip 檔,會跳出一個假訊息表示由於檔案毀損,無法順利開啟。接著就會再彈出一個視窗,表示你的 Mac 軟體需要更新,當你點擊訊息內的更新鈕時,病毒就會要求你輸入密碼以便完成更新。

這就是 Dok 感染你電腦的方式。你需要先打開一個來路不明的 zip 檔,被騙說電腦需要更新,而進一步交出密碼。當你交出密碼的同時,也代表 Dok 取得了 Mac 的完全控制權。

 

該如何避免 Dok 感染?

既然知道 Dok 是透過釣魚的方式引誘你輸入密碼,第一步就是完全不要下載來路不明的 zip 檔(Dok 的釣魚檔案叫做「Dokument.ZIP」),同時也應該養成檢查寄件者信箱的習慣,如果覺得有詐就完全不要下載那封信裡的任何東西,這個習慣不僅是為了防堵 Dok ,而是所有人使用電腦都該養成的好習慣。

即便你下載了 zip 檔,再輸入密碼之前也必須要再三確認這個訊息是可靠的。要被感染 Dok 其實也不算簡單,希望大家從第一步就可以開始避免,即便下載了檔案,在出現輸入密碼的欄位時,也應該要有所警覺。

 

如果 Dok 已經感染了 Mac 怎麼辦呢?

現在 Dok 的受害者大多集中在歐洲,因此台灣用戶目前是不需要太過擔心。但如果你已經打開了「Dokument.ZIP」、輸入了密碼,也就是說已經被感染的話,請依照以下步驟進行:

  1. 進入「系統偏好設定」>「網路」,並點一下你現在正連接著的網路。
  2. 點右下角的「進階」,並點「代理伺服器」分頁。
  3. 選「自動代理伺服器設定」
  4. 刪掉裡面的「http://127.1.1.1.5555…」

 

這是第一步,接下來請刪除以下檔案(可以在 Finder > 前往 > 前往檔案夾 找到這些檔案):

  • /Users/%User%/Library/LaunchAgents/com.apple.Safari.proxy.plist
  • /Users/%User%/Library/LaunchAgents/com.apple.Safari.pac.plist

 

最後一步,刪除 Dok 偽造的認證:

  1. 打開 Finder,進入「應用程式」資料夾
  2. 進入「工具程式」資料夾
  3. 進入「鑰匙圈存取」
  4. 找到「COMODO RSA Secure Server CA 2」,點右鍵將其刪除
  5. Mac 會詢問是否確認要刪除,點確認即可。