未分類
30 3 月 2020

mac 杀毒经历

mac 杀毒经历

資深大佬 : lswang 47

前言

前段时间突然发现 mac 的默认搜索引擎被改成了一个无法使用的网址。发现 chrome 被托管,而且按照网上删除托管的教程来操作也删不掉。当时正好也忙,也没时间搞,最后就删了 chrome,重新安装一个旧版本就可以了。可是可是…前几天,正在用电脑,chrome 突然崩掉了,再运行之后发现搜索引擎又被修改了。 这次不能忍了,决定干掉这个木马。

1. 查找木马

大家可以用 趋势安全大师来扫描磁盘。扫描是免费的,免费的,免费的(重要的事情讲三遍)。但是,杀毒就需要订阅了。不差钱的兄弟充钱就行。

2. 手动杀木马

对于我们差钱的人来说,还是自己手动删除吧(程序员的傲娇)。至于有没有杀干净还不确定,至少目前看是 ok 的。 我这次中的木马名叫 TrustedSafeFinder,这名字太有迷惑性了。还有一个木马是以 UUID 命名的,就不发出来了。

木马在我电脑上做了哪些事情呢?下面列一下

  • 修改 chrome 的搜索引擎(通过设置托管),而且被安装了一个扩展程序
  • 修改本地代理,同时安装了 python 的 mitmproxy (非 pip 安装),应该是想用中间人攻击(访问 https 网站弹出不信任的话就要注意了)。
  • 创建了 2 个随机命名的用户组
  • 设置了开机启动 TrustedSafeFinder
  • 疯狂的写 /tmp 目录 (有一天突然发现磁盘不够了,删掉了不用的大文件,一会又提醒了)

下面我们来一个一个解决这些问题。

2.1 修复 chrome

在网上搜到说 chrome 被托管是因为木马程序设置了描述文件, 所以我们在 chrome 中无法取消托管。 于是到 系统偏好设置里面删掉了描述文件,然后把 chrome 的设置恢复(删掉可以的扩展程序和修改搜索引擎)。删掉之后 chrome 就正常了。

注:一般来说我们自己不会用到这个描述文件,出现描述文件的话就要注意了。

2.2 去除系统代理

  1. 系统偏好设置中打开网络, 点击高级,发现有一个可疑的代理,删掉。
  2. 找到 mitmproxy, 使用命令 sudo find / -name .mitmproxy,找到相应的目录删掉就可以了。 我本地的是被安装在了 /var/root 目录下面,记住这些操作要用命令行来操作,因为偷偷安装的东西都是 .xxxx,点开头的文件和目录在 mac 下算是隐藏文件。

2.3 删除非自己创建的用户组

系统偏好设置中打开用户和群组,删掉了用户组。

2.4 删除木马程序和开机启动 plist

1. 删除开机启动程序

一般来说木马不会把开机启动设置放到系统偏好设置里面,这些开机启动都是用 plist 文件来实现。 到下面的目录下看有没有可疑的 plist 文件,有的话删掉就行

/System/Library/LaunchAgents /System/Library/LaunchDaemons /System/Library/StartupItems /Library/LaunchAgents /Library/LaunchDaemons /Library/StartupItems ~/Library/LaunchAgents ~/Library/LaunchDaemons
2. 删除木马程序

使用命令找到木马程序

sudo find / -name TrustedSafeFinder

我本地找到了三个地方,然后删掉他们

sudo rm -rf /Library/Application Support/com.TrustedSafeFinderDaemon sudo rm -rf /System/Volumes/Data/Library/Application Support/com.TrustedSafeFinderDaemon sudo rm -rf /System/Volumes/Data/Users/wls/Library/Application Support/com.TrustedSafeFinder

注:我本地另一个木马也是用这种方式删掉了。

2.5 确认 /var/root下面有没有可以的东西

我本地删了下面这些目录。其中.TrustedSafeFinder.mitmproxy目录下都是有可执行的 python 文件

sudo rm -rf /var/root/.TrustedSafeFinder/ sudo rm -rf /var/root/.mitmproxy sudo rm -rf /var/root/.CFUserTextEncoding sudo rm -rf /var/root/.oracle_jre_usage sudo rm -rf /var/root/.Trash/ sudo rm -rf /var/root/.forward sudo rm -rf /var/root/.scala_history sudo rm -rf /var/root/.vnc

3. 再次确认

用趋势安全大师再扫描一遍,没有了就行。

大佬有話說 (12)

  • 資深大佬 : littlewing

    能确定这个木马是怎么装上去的吗?

  • 資深大佬 : loading

    我怀疑是最后一步那个什么大师的推广

  • 資深大佬 : Mithril

    @loading 这软件用不着推广吧。之前用过那个趋势企业版,自我保护能力趋近于 0. 随随便便自己就崩了,根本用不着病毒去针对它,一个脚本都能玩死。
    这水平的杀软还有啥可推广的。

  • 資深大佬 : 1002xin

    大师…

  • 資深大佬 : ArJun

    哪有那么多病毒

  • 資深大佬 : loading

    @Mithril 有水平的才不太需要推广。你再好好整理一下。

  • 資深大佬 : dx123

    趋势。。。自己公司的人都不太愿意装。。。

  • 資深大佬 : lswang

    @littlewing 这个真不好确定,有时候会安装一些非 app store 上的软件,大概率是这些软件里面嵌入了木马

  • 資深大佬 : lswang

    @loading 不用怀疑,我不是推广。你可以用其他软件来查木马,我当时只是随便找了个不要钱的

  • 資深大佬 : lswang

    @littlewing 还有一个可能是我用 brew 安装过不少东西,不知道会不会是 brew 仓库上的一些软件嵌入恶意代码

  • 資深大佬 : zfree

    还挺折腾的

  • 資深大佬 : leeyom

    怕就是那个大师是病毒吧