Mac 安全专家 Patrick Wardle 指出,在公布包含恶意软件的文件 —— Meeting_Agenda.zip —— 的分析结果时,只有卡巴斯基和 ZoneAlarm 两家安全厂商能够正确标记它。
在安全专业人员常用的 VirusTotal 站点上,Wardle 检索到了四个文件 —— 结果其中有三份未被任何反病毒平台检测到。
【仅存的那一个,只被卡巴斯基和 ZoneAlarm 给检出】
Wardle 写到:“所有样本的数字签名都被撤掉了(CSSMERR_TP_CERT_REVOKED),意味着苹果对上述恶意软件是知情的。然而 VirusTotal 反病毒引擎的测试结果显示,大多数样本(3/4)的检出率竟然是零”。
基于此,Wardle 认定苹果并非如行业惯例那样分享其安全数据。自 2009 年的“雪豹”(Snow Leopard)更新以来,macOS 已经构建了自己的反恶意软件防御机制。
Ars Technica 评论道:遗憾的是,该公司并未向第三方提供恶意软件的定义 —— 增加其代码被第三方检出和查杀的机会、从而更好地遏制恶意软件的传播。
Wardle 分析的这批恶意软件,目前其试图访问的控制服务器已不在线。但如果服务器再度上线,被感染的 Mac 计算机上的恶意软件会被激活,尝试绕过 macOS 的防御,窃取 Windshift 中的文档或屏幕截图。