关于 mac 恶意软件 Adware/Bundlore 的移除

2022-05-18 07:11:43 +08:00
 a1knla

系统:Monterey 12.4 起因:下破解版的软件,因为急着用,根本没注意伪装成 pkg 安装包的 command 脚本,给了 root 权限,才意识到翻车了~

把 dmg 内容倒腾出来,是一长串 base64 附带一个 sh 脚本将其 decode 为二进制(Mach-O 64-bit executable x86_64),放到 /tmp 执行后删除,执行前还会贴心的给装 Rosetta 。

设法得到了它藏的二进制,上传 viruscan 基本实锤是 Adware/Bundlore ,有个问题想请教各位:如果 LaunchAgent 和 LaunchDaemon 下无可疑项目,并且用 CleanMyMac 全盘扫过一次了,进程列表里面也没有不对劲的东西,算是安全了吗?

二进制传到这里了 drive dot google dot com/file/d/10hV-UK4XJ7UlAd8SDI9eeHu1AaK0XIyK/view?usp=sharing 供会逆向的大佬研究研究

3626 次点击
所在节点    macOS
27 条回复
luckykong
2022-05-18 21:37:31 +08:00
“恶意软件”是如何跟“破解”划等号的?
不用破解版的软件,就不担心中毒? mac 系统这么安全?
a1knla
2022-05-19 05:50:51 +08:00
@luckykong 没有画等号~我是说我在装破解版软件的时候,不小心遇到了伪装成破解版软件的恶意软件。当然不是只要不用破解版软件就不担心中毒

@luoyayu 谢谢!
sickoo
2022-05-19 09:57:19 +08:00
@a1knla op ,我从 macwk 上面下的 pd ,就装过一次,然后卸载了,怎么知道有无中招
luckykong
2022-05-19 11:14:53 +08:00
@a1knla 我是说上面其他人,比如 murmur
a1knla
2022-05-19 12:58:12 +08:00
@luckykong 我看错了,不好意思!

@sickoo 我装了一个开源的 KnockKnock ( https://github.com/objective-see/KnockKnock) 可以把系统中各个敏感区域比如启动项都扫一遍,然后看看有没有可疑的项目吧
EnochZack
2022-06-04 19:15:55 +08:00
@luckykong 从系统破坏性上说只要不关闭 sip mac 系统是安全的,但是不代表你的数据是安全的
vain
2022-06-07 15:46:22 +08:00
@EnochZack big sur 以后系统的重要文件都是只读的了,只在运行时创建 instance 。理论上只有 apple 自己的 updater 程序才能修改,我找了不少办法都没能成功修改。
所以保护好用户数据,做好备份防勒索软件就能应付大多数的威胁了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/853598

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX