Welcome to the world of malware, have a nice day. ชาว Mac ที่ชื่นฉ่ำกับการอยู่ในโลกที่ปลอดภัยของ unix-like system คราวนี้อาจจะหนาวๆ กันอีกรอบครับ หลังจาก OS X 10.5 Leaopard เพิ่งออกจากเตาอบใหม่ๆ หลังข่าวไฟร์วอลล์รั่ว มีโทรจันออกมาต้อนรับอีกตัวหนึ่ง คือ "MacCodec" หรือ OSX.RSPlug.A บริษัท Intego ที่ตรวจสอบความปลอดภัยของซอฟท์แวร์ที่ใช้บนระบบปฏิบัติการ OS X รายงานว่ามีโทรจันตัวใหม่ซึ่งมีเป้าหมายอยู่ที่ผู้ใช้แม็ค

โทรจันที่เรียกว่า OSX.RSPlug.A พบแพร่หลายในเว็บอย่างว่าหลายเว็บ เมื่อผู้ใช้แม็คจะชมวีดีโอระบบจะแจ้งว่า QuickTime ไม่สามารถใช้ชมวีดิโอได้ จะต้องติดตั้ง codec พิเศษก่อน ถ้าผู้ใช้ทำตาม แทนที่จะได้ codec จะเป็นการติดตั้ง DNSChanger รูปแบบหนึ่ง ซึ่งทำการ hijacks บางคำร้องของเว็บที่ส่งไปยัง eBay PayPal  และเว็บธนาคารออนไลน์

โทรจันทำการติดตั้ง root crontrab ซึ่งส่งคำร้องตรวจสอบนาทีต่อนาทีว่า doctored DNS server ยังคงแอคทีฟ โทรจันที่ว่านี้ซึ่งแพร่หลายในหลายเว็บไซต์มีหลากหลายเวอร์ชั่นแตกต่างกันไปตามแต่ประเทศของผู้เข้าใช้งาน สำหรับเหยื่อที่ใช้ OS X 10.4 จะมองเห็นการเปลี่ยนแปลงของ DNS server ภายใต้ OS X GUI ขณะที่เหยื่อที่ถูกโทรจันซึ่งใช้ 10.5 จะตรวจพบ DNS server ใน Advanced Network preferences แต่ทั้งนี้ทั้งนั้นเหยื่อไม่สามารถเป็นค่าดังกล่าวได้เอง อันนี้ผมไม่แน่ใจครับว่าเพราะ OS X เองที่บล็อคไม่ให้ผู้ใช้ดัดแปลงค่าต่างๆ หรือเปล่า หรือเป็นผลจากโทรจัน

ถ้าฟังความเห็นจาก Randy Abrams นักวิจัยด้านความปลอดภัยของ Eset เจ้าของ NOD32 ก็น่าคิดครับ เขาระบุว่า Mac นะนาทีนี้น่าจะมีผู้ใช้ที่มากสมควร พอที่จะดึงดูดใจ ล่อตาล่อใจให้โจมตี ฟังแบบนี้ก็ขัดกับคำชวนเชื่อเดิมๆ ที่บอกกันบ่อยๆ ว่าไม่เกี่ยวกับจำนวนผู้ใช้หรอกมันอยู่ที่ระบบล้วนๆ (ไม่ทราบว่าเป็นหลักคิดแบบไหนครับ ใครจะสร้างมัลแวร์ก็อยากโจมตีคนกลุ่มใหญ่ทั้งนั้น ไม่งั้นไม่ได้ประโยชน์ และไม่ดัง) ถ้าเป็นอย่าง Randy Abrams ว่าไว้ก็เตรียมใจฟังข่าวมัลแวร์และช่องโหว่ของ OS X ทะยอยออกมาและมีมากขึ้นเรื่อยๆ ละครับ

เช้านี้ฟังสำเนียงแปลกๆ จาก Symantec (รายนี้จ้องด่าไมโครซอฟท์อย่างเดียว AV ตัวเองรั่วทีไรก็เงียบกริบ) โฆษกของ Symantec บอกสำเนียงแปร่งๆ ว่า OSX.RSPlug.A จะไม่แพร่หลายมากเพราะมันต้องใช้รหัสผ่านของแอดมินในการติดตั้ง ฟังแล้วก็ขำครับ คิดได้เท่านี้แหละ ถ้าผู้ใช้เต็มใจติดตั้ง codec หลอกๆ ที่ว่าเพื่อสนองความหื่น แล้วใส่รหัสผ่านตอนติดตั้ง codec ละครับ? มันก็คือๆ กัน Administrative passwod ใน unix-like (Linux, Mac) ไม่ต่างกับ UAC ของ Windows Vista ที่เป็นแต่เพียงความปลอดภัยเบื้องต้น ป้องกันอะไรไม่ได้ถ้าผู้ใช้ยอมใส่พาสเวิร์ด หรือคลิก OK

ที่น่ากลัวกว่านั้น คือ ผู้ใช้ Mac ถูกทำให้เชื่อมาตลอดว่าโอเอสของตัวเองมีความปลอดภัยสูง ใช้ Mac แล้วไม่มีวันโดนมัลแวร์ กลายเป็นผลสะท้อนกลับให้ความระแวดระวังของผู้ใช้ต่ำไปด้วย ความเสี่ยงจากพฤติกรรมของผู้ใช้เองจึงเพิ่มสูงขึ้น

ไม่มีระบบแบบไหนปลอดภัยยิ่งยวดหรอกครับ เชื่อเถอะ