V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
a1knla
V2EX  ›  macOS

关于 mac 恶意软件 Adware/Bundlore 的移除

  •  
  •   a1knla · 2022-05-18 07:11:43 +08:00 · 3894 次点击
    这是一个创建于 919 天前的主题,其中的信息可能已经有所发展或是发生改变。

    系统:Monterey 12.4 起因:下破解版的软件,因为急着用,根本没注意伪装成 pkg 安装包的 command 脚本,给了 root 权限,才意识到翻车了~

    把 dmg 内容倒腾出来,是一长串 base64 附带一个 sh 脚本将其 decode 为二进制(Mach-O 64-bit executable x86_64),放到 /tmp 执行后删除,执行前还会贴心的给装 Rosetta 。

    设法得到了它藏的二进制,上传 viruscan 基本实锤是 Adware/Bundlore ,有个问题想请教各位:如果 LaunchAgent 和 LaunchDaemon 下无可疑项目,并且用 CleanMyMac 全盘扫过一次了,进程列表里面也没有不对劲的东西,算是安全了吗?

    二进制传到这里了 drive dot google dot com/file/d/10hV-UK4XJ7UlAd8SDI9eeHu1AaK0XIyK/view?usp=sharing 供会逆向的大佬研究研究

    27 条回复    2022-06-07 15:46:22 +08:00
    classiccc
        1
    classiccc  
       2022-05-18 07:52:15 +08:00
    插眼关注,如果转了不少破解软件,有什么好方法查杀可疑项目呀?
    luckykong
        2
    luckykong  
       2022-05-18 08:50:28 +08:00
    同样有这个担心。。想问下有没有好用查杀软件。
    eset 这种传统的 windows 的杀毒软件,mac 下表现如何呢?
    NaNoBo
        3
    NaNoBo  
       2022-05-18 11:29:29 +08:00
    @luckykong 我安装了 bitdefender ,现在从网络上下载的软件先扫描一下。
    xiyangzh
        4
    xiyangzh  
       2022-05-18 11:53:32 +08:00
    二进制文件下载不了了,google 给你删了吧
    zhandouji
        5
    zhandouji  
       2022-05-18 12:10:35 +08:00
    不用破解软件,用免费开源软件就没这麻烦。吃饭的家伙应该花钱买。
    yousabuk
        6
    yousabuk  
       2022-05-18 13:20:00 +08:00 via iPhone
    一直不敢下载破解好的软件进行安装

    想想:人家凭什么义务奉献?
    cuff
        7
    cuff  
       2022-05-18 13:21:42 +08:00
    我看了一下我有一个 com.yelab.AdwareRemovalHelper ,但是想不到是什么时候装的?这个进程是干什么的呢?
    cuff
        8
    cuff  
       2022-05-18 13:26:27 +08:00
    @cuff 自己回复自己,在 cleanmymac 里可以从优化-启动代理将其移出,不知道以后还会不会出现
    murmur
        9
    murmur  
       2022-05-18 13:27:38 +08:00
    @Livid 这种话题能讨论么,我记得 v 站是不支持盗版的,虽然这个不是盗版下载贴
    idealhs
        10
    idealhs  
       2022-05-18 13:38:26 +08:00   ❤️ 3
    无聊,讨论个杀毒都能歪到破解?
    stephCurry
        11
    stephCurry  
       2022-05-18 17:58:30 +08:00
    既然恶意脚本移动到 /tmp 执行后删除了,那么原理上重启后就没事了,但恶意脚本通常会在 crontab 里面定时启动。Linux 经验来收,检查下 /etc/crontab 下所有 daily weekly 等任务,同时分析下恶意脚本内容。
    dingwen07
        12
    dingwen07  
       2022-05-18 18:22:10 +08:00
    链接被 Google 干掉了
    难道 Google Drive 分享也和 Gmail 一样带病毒扫描的吗
    dingwen07
        13
    dingwen07  
       2022-05-18 18:23:40 +08:00
    顺便提一下,我打开 PKG 之前一般都会看一下它会运行哪些脚本再定夺是否安装,op 用电脑还是得小心啊,不管什么系统
    a1knla
        14
    a1knla  
    OP
       2022-05-18 18:53:53 +08:00
    @xiyangzh 是的,谷歌原来还会管这个
    a1knla
        15
    a1knla  
    OP
       2022-05-18 18:54:21 +08:00
    @zhandouji 还是学生哈哈,不过为了省心已入正版
    a1knla
        16
    a1knla  
    OP
       2022-05-18 19:01:38 +08:00
    @yousabuk 很有道理!

    @cuff 好像查不到这个包的信息

    @stephCurry 感谢提醒,忘记了 crontab

    @dingwen07 是的我也刚知道个人网盘的内容也会被扫毒,收到了谷歌的邮件说这个文件因为有病毒所以删了,我放到了 https://github.com/hatsune-miku/bibobibo/blob/main/malware
    谢谢提醒!
    CivAx
        17
    CivAx  
       2022-05-18 20:10:59 +08:00
    注意有没有释放和加载恶意 Kext 就行了,这可能是 mac 在病毒防护逻辑上唯一跟 Windows 近似的地方,其他就是常规的 Linux 检查项:启动项 /服务、crontab 、进程、资源占用、陌生脚本
    nicevar
        18
    nicevar  
       2022-05-18 20:26:27 +08:00
    很多破解软件都绑了,特别是的 PD ,老毛子捆绑的,我最初发现是我们同事的电脑中招了,为了用破解的,请求授权自己就输入密码通过了,其实很多 macOS 用户都中招了,只是自己发现不了,然后还整天觉得 macOS 很安全,须不知已经当了肉鸡多长时间都不知道
    a1knla
        19
    a1knla  
    OP
       2022-05-18 20:35:19 +08:00
    @CivAx 嗯嗯,看了 kext 的列表好像都是正常的,谢谢!

    @nicevar 我就是装 PD 中招了哈哈
    luoyayu
        20
    luoyayu  
       2022-05-18 20:57:53 +08:00
    https://objective-see.org/tools.html 一些开源的 Mac 安全工具
    luckykong
        21
    luckykong  
       2022-05-18 21:37:31 +08:00
    “恶意软件”是如何跟“破解”划等号的?
    不用破解版的软件,就不担心中毒? mac 系统这么安全?
    a1knla
        22
    a1knla  
    OP
       2022-05-19 05:50:51 +08:00
    @luckykong 没有画等号~我是说我在装破解版软件的时候,不小心遇到了伪装成破解版软件的恶意软件。当然不是只要不用破解版软件就不担心中毒

    @luoyayu 谢谢!
    sickoo
        23
    sickoo  
       2022-05-19 09:57:19 +08:00   ❤️ 1
    @a1knla op ,我从 macwk 上面下的 pd ,就装过一次,然后卸载了,怎么知道有无中招
    luckykong
        24
    luckykong  
       2022-05-19 11:14:53 +08:00
    @a1knla 我是说上面其他人,比如 murmur
    a1knla
        25
    a1knla  
    OP
       2022-05-19 12:58:12 +08:00
    @luckykong 我看错了,不好意思!

    @sickoo 我装了一个开源的 KnockKnock ( https://github.com/objective-see/KnockKnock) 可以把系统中各个敏感区域比如启动项都扫一遍,然后看看有没有可疑的项目吧
    EnochZack
        26
    EnochZack  
       2022-06-04 19:15:55 +08:00
    @luckykong 从系统破坏性上说只要不关闭 sip mac 系统是安全的,但是不代表你的数据是安全的
    vain
        27
    vain  
       2022-06-07 15:46:22 +08:00
    @EnochZack big sur 以后系统的重要文件都是只读的了,只在运行时创建 instance 。理论上只有 apple 自己的 updater 程序才能修改,我找了不少办法都没能成功修改。
    所以保护好用户数据,做好备份防勒索软件就能应付大多数的威胁了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5835 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:15 · PVG 10:15 · LAX 18:15 · JFK 21:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.