前段时间突然发现 mac 的默认搜索引擎被改成了一个无法使用的网址。发现 chrome 被托管,而且按照网上删除托管的教程来操作也删不掉。当时正好也忙,也没时间搞,最后就删了 chrome,重新安装一个旧版本就可以了。可是可是...前几天,正在用电脑,chrome 突然崩掉了,再运行之后发现搜索引擎又被修改了。 这次不能忍了,决定干掉这个木马。
大家可以用 趋势安全大师来扫描磁盘。扫描是免费的,免费的,免费的(重要的事情讲三遍)。但是,杀毒就需要订阅了。不差钱的兄弟充钱就行。
对于我们差钱的人来说,还是自己手动删除吧(程序员的傲娇)。至于有没有杀干净还不确定,至少目前看是 ok 的。 我这次中的木马名叫 TrustedSafeFinder,这名字太有迷惑性了。还有一个木马是以 UUID 命名的,就不发出来了。
木马在我电脑上做了哪些事情呢?下面列一下
mitmproxy
(非 pip 安装),应该是想用中间人攻击(访问 https 网站弹出不信任的话就要注意了)。下面我们来一个一个解决这些问题。
在网上搜到说 chrome 被托管是因为木马程序设置了描述文件
, 所以我们在 chrome 中无法取消托管。
于是到 系统偏好设置
里面删掉了描述文件
,然后把 chrome 的设置恢复(删掉可以的扩展程序和修改搜索引擎)。删掉之后 chrome 就正常了。
注:一般来说我们自己不会用到这个
描述文件
,出现描述文件
的话就要注意了。
系统偏好设置
中打开网络
, 点击高级
,发现有一个可疑的代理,删掉。sudo find / -name .mitmproxy
,找到相应的目录删掉就可以了。
我本地的是被安装在了 /var/root
目录下面,记住这些操作要用命令行来操作,因为偷偷安装的东西都是 .xxxx
,点开头的文件和目录在 mac 下算是隐藏文件。系统偏好设置
中打开用户和群组
,删掉了用户组。
一般来说木马不会把开机启动设置放到系统偏好设置
里面,这些开机启动都是用 plist 文件来实现。
到下面的目录下看有没有可疑的 plist 文件,有的话删掉就行
/System/Library/LaunchAgents
/System/Library/LaunchDaemons
/System/Library/StartupItems
/Library/LaunchAgents
/Library/LaunchDaemons
/Library/StartupItems
~/Library/LaunchAgents
~/Library/LaunchDaemons
使用命令找到木马程序
sudo find / -name TrustedSafeFinder
我本地找到了三个地方,然后删掉他们
sudo rm -rf /Library/Application\ Support/com.TrustedSafeFinderDaemon
sudo rm -rf /System/Volumes/Data/Library/Application\ Support/com.TrustedSafeFinderDaemon
sudo rm -rf /System/Volumes/Data/Users/wls/Library/Application\ Support/com.TrustedSafeFinder
注:我本地另一个木马也是用这种方式删掉了。
/var/root
下面有没有可以的东西我本地删了下面这些目录。其中.TrustedSafeFinder
和 .mitmproxy
目录下都是有可执行的 python 文件
sudo rm -rf /var/root/.TrustedSafeFinder/
sudo rm -rf /var/root/.mitmproxy
sudo rm -rf /var/root/.CFUserTextEncoding
sudo rm -rf /var/root/.oracle_jre_usage
sudo rm -rf /var/root/.Trash/
sudo rm -rf /var/root/.forward
sudo rm -rf /var/root/.scala_history
sudo rm -rf /var/root/.vnc
用趋势安全大师再扫描一遍,没有了就行。
1
littlewing 2020-04-02 18:23:42 +08:00 via iPhone
能确定这个木马是怎么装上去的吗?
|
2
loading 2020-04-02 18:50:59 +08:00 via Android 2
我怀疑是最后一步那个什么大师的推广
|
3
Mithril 2020-04-02 18:57:08 +08:00
@loading 这软件用不着推广吧。之前用过那个趋势企业版,自我保护能力趋近于 0. 随随便便自己就崩了,根本用不着病毒去针对它,一个脚本都能玩死。
这水平的杀软还有啥可推广的。 |
4
1002xin 2020-04-02 19:36:58 +08:00 via iPhone
大师...
|
5
ArJun 2020-04-02 19:46:20 +08:00
哪有那么多病毒
|
7
dx123 2020-04-02 20:01:22 +08:00 via Android
趋势。。。自己公司的人都不太愿意装。。。
|
8
lswang OP @littlewing 这个真不好确定,有时候会安装一些非 app store 上的软件,大概率是这些软件里面嵌入了木马
|
10
lswang OP @littlewing 还有一个可能是我用 brew 安装过不少东西,不知道会不会是 brew 仓库上的一些软件嵌入恶意代码
|
11
zfree 2020-04-04 10:33:26 +08:00 via iPhone
还挺折腾的
|
12
leeyom 2020-04-04 19:53:21 +08:00 via iPhone
怕就是那个大师是病毒吧
|