MacOS: Távolítsa el a Wirelurker malware szoftvert
Ebben a gyakorlati tippben elmagyarázzuk, mit csinál a rosszindulatú program a Wirelurker, és hogyan lehet eltávolítani.
Wirelurker: Mit csinál, és honnan származik?
- A Wirelurker malware a „Maiyadi App Store” kínai letöltési portálról való letöltéssel érkezik a Mac számítógépére, feltehetően az OS X biztonsági résével, a „Rootpipe” keresztül.
- A webhely jól ismert a népszerű szoftverek kalóz példányainak széles skálájáról és gyakran használják.
- A rosszindulatú program nem árt a Mac-nek, kivéve, hogy a háttérben futó szolgáltatást indítja. Ez csak arra vár, hogy csatlakoztasson egy iOS-eszközt a Mac-hez.
- A Wirelurker itt rögzíti a sorozatszámot és a telefonszámot, az iTunes-fiók adatait és más személyes adatokat az iOS-eszközről. Ezeket egy szerverre küldik. Ha az iOS eszköz meghibásodott, és az afc2 szolgáltatás be van kapcsolva, további rosszindulatú programok vannak telepítve. Az iMessage előzményeit, a címjegyzékben szereplő névjegyeket és az egyéb adatokat ezáltal megérinti és elküldi egy kiszolgálóra.
Itt elaklik a Wirelurker rosszindulatú program
A Wirelurker egyes összetevői el vannak osztva a Mac több könyvtárában. Az alábbi lista a fájlokat és könyvtárakat mutatja.
- Fájl: run.sh - Címtár: / Felhasználók / Fiók neve / Nyilvános
- Fájl: com.apple.machook_damon.plist - könyvtár: / Library / LaunchDaemons
- Fájl: com.apple.globalupdate.plist - könyvtár: / Library / LaunchDaemons
- Fájl: com.apple.watchproc.plist - Címtár: / Library / LaunchDaemons
- Fájl: com.apple.itunesupdate.plist - könyvtár: / Library / LaunchDaemons
- Fájl: com.apple.appstore.plughelper.plist - könyvtár: / System / Library / LaunchDaemons
- Fájl: com.apple.MailServiceAgentHelper.plist - könyvtár: / Rendszer / Könyvtár / LaunchDaemons
- Fájl: com.apple.systemkeychain-helper.plist - könyvtár: / System / Library / LaunchDaemons
- Fájl: com.apple.periodic-dd-hh-hh.év-lista - könyvtár: / System / Library / LaunchDaemons
- Fájl: globalupdate / usr / local / machook / - könyvtár: / usr / bin
- Fájl: WatchProc könyvtár: / usr / bin
- Fájl: itunesupdate - könyvtár: / usr / bin
- Fájl: com.apple.MailServiceAgentHelper - könyvtár: / usr / bin
- Fájl: com.apple.appstore.PluginHelper - könyvtár: / usr / bin
- Fájl: periodicdate - könyvtár: / usr / bin
- Fájl: systemkeychain-helper - könyvtár: / usr / bin
- Fájl: stty5.11.pl - könyvtár: / usr / bin
Hogyan lehet megszabadulni a Wirelurker malware-től
A rosszindulatú programok eltávolításához elegendő a komponensek törlése a könyvtárakból. Mivel azonban ezek különféle könyvtárakban vannak elosztva, a keresés meglehetősen összetett. Egy kis python szkript elvégzi az Ön munkáját.
- Töltse le a WireLurkerDetector szkriptet a GitHubból. Ehhez indítsa el a terminált a Mac számítógépen, és írja be a "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py" parancsot.
- Írja be a "python WireLurkerDetectorOSX.py" parancsot a szkript futtatásához. Akkor megjelenik az érzékelő eredménye.
- Ezután minden iOS-eszközt vissza kell állítania a fertőzött Mac-hez.