太惨了……OSX 中了 WireLurker，现在想自检 iPhone 6!

我最近电脑也是百度先到7do什么的，会不会跟7do.net也有点关系？

@gtar safari那个地址栏那么多，而且跳得快，来不及记录。

连上xcode检查iPhone上安装的证书方可查看是否感染
不过现在苹果已经在根服务器上把WireLurker的相关证书都给deactive了，所以不会存在什么问题了
越狱的话需要检查是否存在sfbase.dylib文件

@konakona 你好，我是PANW的Claud Xiao。关于这个变种和iPhone的问题，能否直接和我联系？我们一起看看是怎么回事。
我的邮箱是 [email protected] （可以在Github或者LinkedIn看到这个地址）。
谢谢啦！

@Claud 这不是 WireLurker 最早发现者之一吗？V2EX 真是藏龙卧虎

比较在意那个官网下载的MAMP是怎么回事

MAMP官网都带？
还好我用的XAMPP，楼主快来XAMPP的怀抱吧

@Claud 注册1年就这一个回复。。。

还好我是自己配的环境

@so898
@Claud

mac已经妥妥中标了
ios也出现过中标迹象

请问在mac清理完毕后, 如何清理ios呢?
在线等....

补一句吧, 让别人越狱, 还是商家, 这也太不小心了.

不越狱也会中招吗

手机还原掉自己越狱吧

怎么检测mac有中呢？

https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf

这里面讲得很详细了

@Claud 膜拜肖大神！

一段时间之前，某天手机突然多了一个企业分发的游戏。当时觉得不对劲。
后来装10.10抹盘了，再也木有查出来过了。

我也中招 nnd

Your OS X system isn't infected by the WireLurker. Thank you!

怎么检测是否中招？我也是用的MAMP = =

@DXpro 请问用的什么检测

@bullettrain1433 https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

= =我也中招

@musicx Your OS X system isn't infected by the WireLurker. Thank you! 谢谢

@braineo 看完了文档, 并没有说中标的ios如何处理啊

@duoglas 有说啊，认真看看。越狱后的就把一个sfbase的文件删掉，未越狱的就去把不知名的profile删掉。越狱后的iOS因为可以会在app里植入木马，看看发行商对不对得上。未越狱的把企业部署的奇怪的APP删了就好了

@braineo 果然 刚才没看仔细 , 谢谢~!

Remediation
If WireLurker is found on any OS X computer, we recommend the deletion of
respective files and removal of applications reported by the script. As of the
publication date of this report, the iOS component of WireLurker is only spread
through an infected Mac computer; accordingly, if WireLurker is found on a Mac, we
recommend inspection of all iOS devices that have connected with that computer.
A quick check for iOS devices includes determining whether any unauthorized
enterprise provisioning profiles were created by navigating to “Settings -> General
-> Profile”. If an anomalous profile is found, it should be removed and a subsequent
check of all applications should be performed. Delete any strange applications found
on the device. For jailbroken devices, we recommend that you check whether the file
“/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib” exists. If so, you should
delete it through a terminal connection, via an application like MobileTerminal or
Secure Shell (SSH).

[+] Your OS X system isn't infected by the WireLurker. Thank you!


https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

以前我还专门去找这个麦客孤独的D版软件。。。。现在我基本全换成正版了。。太恐怖了

@duoglas 8.1系统设置中的通用中没发现“Profile”

@zeroday 那就说明ok了

中招已修复;-)

@duoglas 哦，明白了，thank you.

@zeroday 用 xcode 查看删除（或者 iPhone Configuration Utility 也可以）。如果没有越狱的话，删不删那个证书无所谓，因为已经被苹果屏蔽了。

@dotpig 试了一下您推荐的方法，请教一个问题，iPhone Configuration Utility签发de证书怎么不被信任的呢？

@zeroday 到 Keychain 里面，把 iPhone Configuration Utility 证书设为始终信任就可以了。