Backdoor.MAC.Eleanor恶意软件是非常危险的，因为它很难被检测出来，而且被感染的系统将会彻底被黑客所控制。

互联网安全软件公司 Bitdefender 研究实验室日前公开了一种新型Mac恶意软件——Backdoor.MAC.Eleanor。它通过嵌入的脚本让我们在不经意间下载安装假的文件转化器，然后这些假的应用程序将会为攻击者提供一个 OS X 的后门程序向系统发起进攻。

“这种类型的恶意软件是非常危险的!因为它很难被检测出来，而且被感染的系统将会彻底被黑客所控制。” 技术人员 Tiberius Axinte 向我们解释。“例如，如果有人锁定了我们的 Mac，那么黑客很可能会威胁和敲诈你，如果不满足他们的要求，就将你的私人文件抹杀或者泄露出去。或者用你的 Mac 电脑编程一个僵尸网络来攻击其他设备，总之，可能性是无穷无尽的。”下面就让我们来了解一下这款恶意软件，以更好地保护你的设备，免受攻击。

Backdoor.MAC.Eleanor是什么？

Backdoor.MAC.Eleanor 是一种新型 macOS 恶意软件，它来自第三方恶意应用 EasyDoc Converter。

EasyDoc Converter 是什么？

EasyDoc Converter.app 是一款第三方Mac应用，该恶意程序伪装成了一款便捷的文件转换器，实际上除了感染我们的电脑它并不具备文件转换器的其他功能。如下就是该恶意软件的虚假描述：

EasyDoc Converter 是一款适合 OS X 平台使用的快捷、简单的文件转换器。只要把你的 FreeOffice (.fof) 和 SimpleStats (.sst) 文件拖放到这个应用中即可将文件转换成 Microsoft Office (.docx)文件。对于经常需要把各种文件转换成常见微软格式文件的学生和公司员工来说，EasyDoc Converter 真的是一个好帮手。它的用户界面简单干净，用户只需拖拽文件即可完成转换，转换后的文件将保存在和原文件相同的目录下。

此前 EasyDoc Converter 率先在软件下载网站 MacUpdate 上线，不过 7 月 5 日时这款应用已经被删除了，或许网上其他地方还有提供下载的途径。这款应用从未在 Mac App Store 上架。

该应用是通过开发者工具 Platypus 开发完成的。这个工具用于开发原生 Mac 应用，支持的语言包括 Python、Perl 和 Ruby 等。

Backdoor.MAC.Eleanor 如何传播感染用户设备？

Backdoor.MAC.Eleanor 会感染所有安装了 EasyDoc Converter 的 Mac 设备，应用安装登记系统启动的恶意脚本，允许攻击者匿名访问被感染的Mac设备。

Backdoor.MAC.Eleanor 会让用户的 Mac 承受什么样的风险？

Backdoor.MAC.Eleanor 创建 Tor 隐藏服务，该服务将能够允许攻击者通过它生成的地址和基于 PHP 的本地网络服务器 Web Service 完全远程匿名访问被感染的 Mac 设备。

攻击者就可以访问、修改文件、执行空壳指令、通过 iSight 或 FaceTime 摄像头拍下照片和视频，通过基于网页的控制面板还可以进行：

－文件管理（查看、编辑、重命名、删除、上传、下载和归档文件）

－指令执行

－远程执行 root 指令

－搜寻防火墙规则集，找到进入目标系统或网络的入口

－连接并管理数据库

－处理清单/任务管理器

－发送带有附件的邮件

Tor 隐藏服务是什么？

Tor 是一款免费软件，支持用户在计算机上匿名通讯，也就是洋葱路由。该软件其实就是通过计算机的网络重新路由网络流量，这样其源 IP 地址就不会被追踪，用户可以在不被识别的情况下随意浏览网络。

Tor 隐藏服务的网站或服务器经过设置后，将只会在通过匿名网络路由时接受入站连接。通过它的“洋葱”地址可访问隐藏服务，比如通过 XXXpaceinbeg3yci.onion 这个地址攻击者就可以连接，远程访问被感染的Mac。

哪些 Mac 机型可能会被感染？

MacUpdate 显示 EasyDoc Converter 的系统要求是运行 OS X 10.6 (Snow Leopard) 及以上系统版本的 Intel Mac。OS X Snow Leopard 对设备的硬件要求是至少 1GB RAM，还有 5GB 空余磁盘空间。

也就是说 2007 年中及更新 MacBook 机型、所有 MacBook Air 和 MacBook Pro 机型、2007 年中或更新的 Mac mini 和 iMac 机型、所有Mac Pro 都有可能成为 Backdoor.MAC.Eleanor 的感染对象。

如果你不知道自己的 Mac 是哪个年份的什么机型，那么你可以点击左上角 macOS 菜单栏中的苹果 logo，选择“关于这台 Mac”即可看到。

Mac 用户应如何保护设备，避免感染 Backdoor.MAC.Eleanor？

最明显、也是最重要的防范措施就是避免下载任何来源的“EasyDoc Converter.app”应用。安装未知开发者的未知应用同样是在冒安全风险。

苹果默认的 Gatekeeper 安全设置已经阻止打开 EasyDoc Converter，除非用户无视该安全监测功能发出的警告，在系统偏好 > 安全&隐私下手动设置打开这款应用，不然的话用户的 Mac 设备就是安全的。

Mac 用户还可以下载安装受信任的杀毒软件，比如BlockBlock可以不间断地监控通用持续性位置，如果有持续性组件添加到系统中，它就会发出警告提醒用户。

如果你不小心已经安装了EasyDoc Converter那么你也可以下载杀毒软件 Malwarebytes，它已经升级，可以检测到 Backdoor.MAC.Eleanor，将其删除。

苹果会如何解决这款恶意软件带来的问题？

苹果可能升级“Xprotect”杀毒系统，阻止安装和使用 EasyDoc Converter。

最后我们提醒广大 Mac 用户，在下载应用时请从 Mac App Store 下载那些经过认证，确定了开发者身份的应用。