V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lswang
V2EX  ›  macOS

mac 杀毒经历

  •  
  •   lswang · 2020-04-02 17:52:32 +08:00 · 3376 次点击
    这是一个创建于 1696 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前言

    前段时间突然发现 mac 的默认搜索引擎被改成了一个无法使用的网址。发现 chrome 被托管,而且按照网上删除托管的教程来操作也删不掉。当时正好也忙,也没时间搞,最后就删了 chrome,重新安装一个旧版本就可以了。可是可是...前几天,正在用电脑,chrome 突然崩掉了,再运行之后发现搜索引擎又被修改了。 这次不能忍了,决定干掉这个木马。

    1. 查找木马

    大家可以用 趋势安全大师来扫描磁盘。扫描是免费的,免费的,免费的(重要的事情讲三遍)。但是,杀毒就需要订阅了。不差钱的兄弟充钱就行。

    2. 手动杀木马

    对于我们差钱的人来说,还是自己手动删除吧(程序员的傲娇)。至于有没有杀干净还不确定,至少目前看是 ok 的。 我这次中的木马名叫 TrustedSafeFinder,这名字太有迷惑性了。还有一个木马是以 UUID 命名的,就不发出来了。

    木马在我电脑上做了哪些事情呢?下面列一下

    • 修改 chrome 的搜索引擎(通过设置托管),而且被安装了一个扩展程序
    • 修改本地代理,同时安装了 python 的 mitmproxy (非 pip 安装),应该是想用中间人攻击(访问 https 网站弹出不信任的话就要注意了)。
    • 创建了 2 个随机命名的用户组
    • 设置了开机启动 TrustedSafeFinder
    • 疯狂的写 /tmp 目录 (有一天突然发现磁盘不够了,删掉了不用的大文件,一会又提醒了)

    下面我们来一个一个解决这些问题。

    2.1 修复 chrome

    在网上搜到说 chrome 被托管是因为木马程序设置了描述文件, 所以我们在 chrome 中无法取消托管。 于是到 系统偏好设置里面删掉了描述文件,然后把 chrome 的设置恢复(删掉可以的扩展程序和修改搜索引擎)。删掉之后 chrome 就正常了。

    注:一般来说我们自己不会用到这个描述文件,出现描述文件的话就要注意了。

    2.2 去除系统代理

    1. 系统偏好设置中打开网络, 点击高级,发现有一个可疑的代理,删掉。
    2. 找到 mitmproxy, 使用命令 sudo find / -name .mitmproxy,找到相应的目录删掉就可以了。 我本地的是被安装在了 /var/root 目录下面,记住这些操作要用命令行来操作,因为偷偷安装的东西都是 .xxxx,点开头的文件和目录在 mac 下算是隐藏文件。

    2.3 删除非自己创建的用户组

    系统偏好设置中打开用户和群组,删掉了用户组。

    2.4 删除木马程序和开机启动 plist

    1. 删除开机启动程序

    一般来说木马不会把开机启动设置放到系统偏好设置里面,这些开机启动都是用 plist 文件来实现。 到下面的目录下看有没有可疑的 plist 文件,有的话删掉就行

    /System/Library/LaunchAgents
    /System/Library/LaunchDaemons
    /System/Library/StartupItems
    /Library/LaunchAgents
    /Library/LaunchDaemons
    /Library/StartupItems
    ~/Library/LaunchAgents
    ~/Library/LaunchDaemons
    
    2. 删除木马程序

    使用命令找到木马程序

    sudo find / -name TrustedSafeFinder
    

    我本地找到了三个地方,然后删掉他们

    sudo rm -rf /Library/Application\ Support/com.TrustedSafeFinderDaemon
    sudo rm -rf /System/Volumes/Data/Library/Application\ Support/com.TrustedSafeFinderDaemon
    sudo rm -rf /System/Volumes/Data/Users/wls/Library/Application\ Support/com.TrustedSafeFinder
    

    注:我本地另一个木马也是用这种方式删掉了。

    2.5 确认 /var/root下面有没有可以的东西

    我本地删了下面这些目录。其中.TrustedSafeFinder.mitmproxy目录下都是有可执行的 python 文件

    sudo rm -rf /var/root/.TrustedSafeFinder/
    sudo rm -rf /var/root/.mitmproxy
    sudo rm -rf /var/root/.CFUserTextEncoding
    sudo rm -rf /var/root/.oracle_jre_usage
    sudo rm -rf /var/root/.Trash/
    sudo rm -rf /var/root/.forward
    sudo rm -rf /var/root/.scala_history
    sudo rm -rf /var/root/.vnc
    

    3. 再次确认

    用趋势安全大师再扫描一遍,没有了就行。

    12 条回复    2020-04-04 19:53:21 +08:00
    littlewing
        1
    littlewing  
       2020-04-02 18:23:42 +08:00 via iPhone
    能确定这个木马是怎么装上去的吗?
    loading
        2
    loading  
       2020-04-02 18:50:59 +08:00 via Android   ❤️ 2
    我怀疑是最后一步那个什么大师的推广
    Mithril
        3
    Mithril  
       2020-04-02 18:57:08 +08:00
    @loading 这软件用不着推广吧。之前用过那个趋势企业版,自我保护能力趋近于 0. 随随便便自己就崩了,根本用不着病毒去针对它,一个脚本都能玩死。
    这水平的杀软还有啥可推广的。
    1002xin
        4
    1002xin  
       2020-04-02 19:36:58 +08:00 via iPhone
    大师...
    ArJun
        5
    ArJun  
       2020-04-02 19:46:20 +08:00
    哪有那么多病毒
    loading
        6
    loading  
       2020-04-02 19:55:19 +08:00 via Android
    @Mithril 有水平的才不太需要推广。你再好好整理一下。
    dx123
        7
    dx123  
       2020-04-02 20:01:22 +08:00 via Android
    趋势。。。自己公司的人都不太愿意装。。。
    lswang
        8
    lswang  
    OP
       2020-04-03 09:33:12 +08:00
    @littlewing 这个真不好确定,有时候会安装一些非 app store 上的软件,大概率是这些软件里面嵌入了木马
    lswang
        9
    lswang  
    OP
       2020-04-03 09:34:30 +08:00
    @loading 不用怀疑,我不是推广。你可以用其他软件来查木马,我当时只是随便找了个不要钱的
    lswang
        10
    lswang  
    OP
       2020-04-03 09:35:37 +08:00
    @littlewing 还有一个可能是我用 brew 安装过不少东西,不知道会不会是 brew 仓库上的一些软件嵌入恶意代码
    zfree
        11
    zfree  
       2020-04-04 10:33:26 +08:00 via iPhone
    还挺折腾的
    leeyom
        12
    leeyom  
       2020-04-04 19:53:21 +08:00 via iPhone
    怕就是那个大师是病毒吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2652 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:00 · PVG 13:00 · LAX 21:00 · JFK 00:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.