关于 mac 恶意软件 Adware/Bundlore 的移除

2022-05-18 07:11:43 +08:00

a1knla

系统：Monterey 12.4 起因：下破解版的软件，因为急着用，根本没注意伪装成 pkg 安装包的 command 脚本，给了 root 权限，才意识到翻车了～

把 dmg 内容倒腾出来，是一长串 base64 附带一个 sh 脚本将其 decode 为二进制(Mach-O 64-bit executable x86_64)，放到 /tmp 执行后删除，执行前还会贴心的给装 Rosetta 。

设法得到了它藏的二进制，上传 viruscan 基本实锤是 Adware/Bundlore ，有个问题想请教各位：如果 LaunchAgent 和 LaunchDaemon 下无可疑项目，并且用 CleanMyMac 全盘扫过一次了，进程列表里面也没有不对劲的东西，算是安全了吗？

二进制传到这里了 drive dot google dot com/file/d/10hV-UK4XJ7UlAd8SDI9eeHu1AaK0XIyK/view?usp=sharing 供会逆向的大佬研究研究

3608 次点击

所在节点

macOS

27 条回复

classiccc

2022-05-18 07:52:15 +08:00

插眼关注，如果转了不少破解软件，有什么好方法查杀可疑项目呀？

luckykong

2022-05-18 08:50:28 +08:00

同样有这个担心。。想问下有没有好用查杀软件。
eset 这种传统的 windows 的杀毒软件，mac 下表现如何呢？

NaNoBo

2022-05-18 11:29:29 +08:00

@luckykong 我安装了 bitdefender ，现在从网络上下载的软件先扫描一下。

xiyangzh

2022-05-18 11:53:32 +08:00

二进制文件下载不了了，google 给你删了吧

zhandouji

2022-05-18 12:10:35 +08:00

不用破解软件，用免费开源软件就没这麻烦。吃饭的家伙应该花钱买。

yousabuk

2022-05-18 13:20:00 +08:00

一直不敢下载破解好的软件进行安装

想想：人家凭什么义务奉献？

cuff

2022-05-18 13:21:42 +08:00

我看了一下我有一个 com.yelab.AdwareRemovalHelper ，但是想不到是什么时候装的？这个进程是干什么的呢？

cuff

2022-05-18 13:26:27 +08:00

@cuff 自己回复自己，在 cleanmymac 里可以从优化-启动代理将其移出，不知道以后还会不会出现

murmur

2022-05-18 13:27:38 +08:00

@Livid 这种话题能讨论么，我记得 v 站是不支持盗版的，虽然这个不是盗版下载贴

idealhs

2022-05-18 13:38:26 +08:00

无聊，讨论个杀毒都能歪到破解？

stephCurry

2022-05-18 17:58:30 +08:00

既然恶意脚本移动到 /tmp 执行后删除了，那么原理上重启后就没事了，但恶意脚本通常会在 crontab 里面定时启动。Linux 经验来收，检查下 /etc/crontab 下所有 daily weekly 等任务，同时分析下恶意脚本内容。

dingwen07

2022-05-18 18:22:10 +08:00

链接被 Google 干掉了
难道 Google Drive 分享也和 Gmail 一样带病毒扫描的吗

dingwen07

2022-05-18 18:23:40 +08:00

顺便提一下，我打开 PKG 之前一般都会看一下它会运行哪些脚本再定夺是否安装，op 用电脑还是得小心啊，不管什么系统

a1knla

2022-05-18 18:53:53 +08:00

@xiyangzh 是的，谷歌原来还会管这个

a1knla

2022-05-18 18:54:21 +08:00

@zhandouji 还是学生哈哈，不过为了省心已入正版

a1knla

2022-05-18 19:01:38 +08:00

@yousabuk 很有道理！

@cuff 好像查不到这个包的信息

@stephCurry 感谢提醒，忘记了 crontab

@dingwen07 是的我也刚知道个人网盘的内容也会被扫毒，收到了谷歌的邮件说这个文件因为有病毒所以删了，我放到了 https://github.com/hatsune-miku/bibobibo/blob/main/malware
谢谢提醒！

CivAx

2022-05-18 20:10:59 +08:00

注意有没有释放和加载恶意 Kext 就行了，这可能是 mac 在病毒防护逻辑上唯一跟 Windows 近似的地方，其他就是常规的 Linux 检查项：启动项 /服务、crontab 、进程、资源占用、陌生脚本

nicevar

2022-05-18 20:26:27 +08:00

很多破解软件都绑了，特别是的 PD ，老毛子捆绑的，我最初发现是我们同事的电脑中招了，为了用破解的，请求授权自己就输入密码通过了，其实很多 macOS 用户都中招了，只是自己发现不了，然后还整天觉得 macOS 很安全，须不知已经当了肉鸡多长时间都不知道

a1knla

2022-05-18 20:35:19 +08:00

@CivAx 嗯嗯，看了 kext 的列表好像都是正常的，谢谢！

@nicevar 我就是装 PD 中招了哈哈

luoyayu

2022-05-18 20:57:53 +08:00

https://objective-see.org/tools.html 一些开源的 Mac 安全工具

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/853598

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.