雪豹增加了扫描安装包中恶意软件的功能

有一种误解,认为麦金塔平台的抗病毒能力极佳,而实事上任何一种广为流传的设备都不免会被安全界与黑客界深入研究,例如早期的苹果电脑,理查德·斯科伦塔(当时十五岁)也借此成为个人电脑史上病毒制造的第一人,他在一九八二年针对苹果 ][ 型电脑开发了一款名为「麋鹿增殖者」的病毒,每当计算机启动满五十次以后就发作一回,它会在屏幕上显示预设的语句,还能够通过软盘传播,发作时候的效果可见下图。

elk cloner.gif

Mac OS 时代的病毒就更多了,比较有名的是一九八七年发布的 nVir ,由于病毒源代码被广泛传播,所以后来的变种也是五花八门,有导致程序崩溃的、有拖慢系统速度的、也有让打印机出错的,而且感染能力很强,通过网络也能传播。大量病毒的出现催生了许多反病毒工具,有一部分还延续到了今天,而苹果自身也制定了许多对策,比如禁止视窗系统中至今还在使用的 Autorun 功能。随着苹果借力 Mac OS X 而重获市场份额,恶意软件的阴影又开始笼罩起麦金塔平台,特别是在二零零七年底以后。早期的 Mac OS X 系统对木马几乎没有任何反手之力,于是苹果在 Mac OS X 10.5 (Leopard) 之后加入了沙盒技术,任何从网络或邮件附件中下载而来的程序都会被标识为可疑程序,在运行之前需要用户的确认,部分杀毒软件还把这项功能覆盖到所有软件之上。

所以裸机运行的风险挺大,特别是在对付结合了木马与病毒二者所长的蠕虫,麦金塔的防御力就更弱了。另一方面,苹果一些夸大其辞的广告也松懈了用户对病毒的防范意识,特别是在「Get a Mac」系列广告中的「信任麦金塔」一条,麦金塔的扮演者说道:「我使用 Mac OS X ,所以我不惧怕间谍软件与病毒」。一旦用户建立起这种自满的心态,在面临真正威胁的时候,沙盒的防护作用很容易荡然无存。使用盗版软件也很容易增加感染的风险,例如今年年初爆出的盗版 iWork '09 中所携带的木马程序 iWorkServices ,该木马在安装过程中能够截取用户密码,接着注入启动项,并与远端通讯,而且还能自动下载附件,破坏力很大。

安全软件厂商 Intego 在本月二十五日最先发现雪豹中内置的安装包扫描功能,但他们还不清楚苹果实现这项功能的机理是什么,根据赖安·纳瑞恩的消息,他已经确认这项技术并不是来自开源的 ClaimAV 引擎,因此苹果很可能是与某些杀毒软件厂商签署了协议,无论如何,我们乐见苹果越来越关注操作系统的安全问题。下图是雪豹在面对一个含有恶意程序的安装包时候所做的反应。
 
snow_leopard_malware_blocker.jpg