V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
a1knla
V2EX  ›  macOS

关于 mac 恶意软件 Adware/Bundlore 的移除

  •  
  •   a1knla · 82 天前 · 2047 次点击
    这是一个创建于 82 天前的主题,其中的信息可能已经有所发展或是发生改变。

    系统:Monterey 12.4 起因:下破解版的软件,因为急着用,根本没注意伪装成 pkg 安装包的 command 脚本,给了 root 权限,才意识到翻车了~

    把 dmg 内容倒腾出来,是一长串 base64 附带一个 sh 脚本将其 decode 为二进制(Mach-O 64-bit executable x86_64),放到 /tmp 执行后删除,执行前还会贴心的给装 Rosetta 。

    设法得到了它藏的二进制,上传 viruscan 基本实锤是 Adware/Bundlore ,有个问题想请教各位:如果 LaunchAgent 和 LaunchDaemon 下无可疑项目,并且用 CleanMyMac 全盘扫过一次了,进程列表里面也没有不对劲的东西,算是安全了吗?

    二进制传到这里了 drive dot google dot com/file/d/10hV-UK4XJ7UlAd8SDI9eeHu1AaK0XIyK/view?usp=sharing 供会逆向的大佬研究研究

    27 条回复    2022-06-07 15:46:22 +08:00
    classiccc
        1
    classiccc  
       82 天前
    插眼关注,如果转了不少破解软件,有什么好方法查杀可疑项目呀?
    luckykong
        2
    luckykong  
       82 天前
    同样有这个担心。。想问下有没有好用查杀软件。
    eset 这种传统的 windows 的杀毒软件,mac 下表现如何呢?
    NaNoBo
        3
    NaNoBo  
       82 天前
    @luckykong 我安装了 bitdefender ,现在从网络上下载的软件先扫描一下。
    xiyangzh
        4
    xiyangzh  
       82 天前
    二进制文件下载不了了,google 给你删了吧
    zhandouji
        5
    zhandouji  
       82 天前
    不用破解软件,用免费开源软件就没这麻烦。吃饭的家伙应该花钱买。
    yousabuk
        6
    yousabuk  
       81 天前 via iPhone
    一直不敢下载破解好的软件进行安装

    想想:人家凭什么义务奉献?
    cuff
        7
    cuff  
       81 天前
    我看了一下我有一个 com.yelab.AdwareRemovalHelper ,但是想不到是什么时候装的?这个进程是干什么的呢?
    cuff
        8
    cuff  
       81 天前
    @cuff 自己回复自己,在 cleanmymac 里可以从优化-启动代理将其移出,不知道以后还会不会出现
    murmur
        9
    murmur  
       81 天前
    @Livid 这种话题能讨论么,我记得 v 站是不支持盗版的,虽然这个不是盗版下载贴
    idealhs
        10
    idealhs  
       81 天前   ❤️ 3
    无聊,讨论个杀毒都能歪到破解?
    stephCurry
        11
    stephCurry  
       81 天前
    既然恶意脚本移动到 /tmp 执行后删除了,那么原理上重启后就没事了,但恶意脚本通常会在 crontab 里面定时启动。Linux 经验来收,检查下 /etc/crontab 下所有 daily weekly 等任务,同时分析下恶意脚本内容。
    dingwen07
        12
    dingwen07  
       81 天前
    链接被 Google 干掉了
    难道 Google Drive 分享也和 Gmail 一样带病毒扫描的吗
    dingwen07
        13
    dingwen07  
       81 天前
    顺便提一下,我打开 PKG 之前一般都会看一下它会运行哪些脚本再定夺是否安装,op 用电脑还是得小心啊,不管什么系统
    a1knla
        14
    a1knla  
    OP
       81 天前
    @xiyangzh 是的,谷歌原来还会管这个
    a1knla
        15
    a1knla  
    OP
       81 天前
    @zhandouji 还是学生哈哈,不过为了省心已入正版
    a1knla
        16
    a1knla  
    OP
       81 天前
    @yousabuk 很有道理!

    @cuff 好像查不到这个包的信息

    @stephCurry 感谢提醒,忘记了 crontab

    @dingwen07 是的我也刚知道个人网盘的内容也会被扫毒,收到了谷歌的邮件说这个文件因为有病毒所以删了,我放到了 https://github.com/hatsune-miku/bibobibo/blob/main/malware
    谢谢提醒!
    CivAx
        17
    CivAx  
       81 天前
    注意有没有释放和加载恶意 Kext 就行了,这可能是 mac 在病毒防护逻辑上唯一跟 Windows 近似的地方,其他就是常规的 Linux 检查项:启动项 /服务、crontab 、进程、资源占用、陌生脚本
    nicevar
        18
    nicevar  
       81 天前
    很多破解软件都绑了,特别是的 PD ,老毛子捆绑的,我最初发现是我们同事的电脑中招了,为了用破解的,请求授权自己就输入密码通过了,其实很多 macOS 用户都中招了,只是自己发现不了,然后还整天觉得 macOS 很安全,须不知已经当了肉鸡多长时间都不知道
    a1knla
        19
    a1knla  
    OP
       81 天前
    @CivAx 嗯嗯,看了 kext 的列表好像都是正常的,谢谢!

    @nicevar 我就是装 PD 中招了哈哈
    luoyayu
        20
    luoyayu  
       81 天前
    https://objective-see.org/tools.html 一些开源的 Mac 安全工具
    luckykong
        21
    luckykong  
       81 天前
    “恶意软件”是如何跟“破解”划等号的?
    不用破解版的软件,就不担心中毒? mac 系统这么安全?
    a1knla
        22
    a1knla  
    OP
       81 天前
    @luckykong 没有画等号~我是说我在装破解版软件的时候,不小心遇到了伪装成破解版软件的恶意软件。当然不是只要不用破解版软件就不担心中毒

    @luoyayu 谢谢!
    sickoo
        23
    sickoo  
       81 天前   ❤️ 1
    @a1knla op ,我从 macwk 上面下的 pd ,就装过一次,然后卸载了,怎么知道有无中招
    luckykong
        24
    luckykong  
       81 天前
    @a1knla 我是说上面其他人,比如 murmur
    a1knla
        25
    a1knla  
    OP
       80 天前
    @luckykong 我看错了,不好意思!

    @sickoo 我装了一个开源的 KnockKnock ( https://github.com/objective-see/KnockKnock) 可以把系统中各个敏感区域比如启动项都扫一遍,然后看看有没有可疑的项目吧
    EnochZack
        26
    EnochZack  
       64 天前
    @luckykong 从系统破坏性上说只要不关闭 sip mac 系统是安全的,但是不代表你的数据是安全的
    vain
        27
    vain  
       61 天前
    @EnochZack big sur 以后系统的重要文件都是只读的了,只在运行时创建 instance 。理论上只有 apple 自己的 updater 程序才能修改,我找了不少办法都没能成功修改。
    所以保护好用户数据,做好备份防勒索软件就能应付大多数的威胁了。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3183 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 04:37 · PVG 12:37 · LAX 21:37 · JFK 00:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.