MacOS: Loại bỏ phần mềm độc hại Wirelurker
Trong mẹo thực tế này, chúng tôi giải thích phần mềm độc hại mà Wirelurker làm và cách bạn có thể loại bỏ nó.
Wirelurker: Anh ấy làm gì và đến từ đâu
- Phần mềm độc hại Wirelurker xuất hiện trên máy Mac của bạn thông qua các bản tải xuống từ cổng tải xuống Trung Quốc "Maiyadi App Store", có lẽ thông qua lỗ hổng bảo mật OS X "Rootpipe".
- Trang web này nổi tiếng với nhiều bản sao lậu phần mềm phổ biến và thường được sử dụng.
- Phần mềm độc hại không gây hại cho máy Mac của bạn, ngoại trừ việc nó bắt đầu một dịch vụ chạy nền. Điều này chỉ chờ bạn kết nối thiết bị iOS với Mac.
- Tại đây, Wirelurker sau đó ghi lại số sê-ri và số điện thoại, dữ liệu tài khoản iTunes và các chi tiết cá nhân khác từ thiết bị iOS. Chúng được gửi đến một máy chủ. Nếu thiết bị iOS bị bẻ khóa và dịch vụ afc2 được bật, phần mềm độc hại bổ sung sẽ được cài đặt. Lịch sử của iMessage, danh bạ từ sổ địa chỉ và dữ liệu khác do đó được khai thác và gửi đến máy chủ.
Đây là nơi phần mềm độc hại Wirelurker bị mắc kẹt
Các thành phần riêng lẻ của Wirelurker được trải đều trên một số thư mục trên máy Mac của bạn. Danh sách sau đây cho thấy các tập tin và thư mục.
- Tệp: run.sh - Thư mục: / Người dùng / Tên tài khoản / Công khai
- Tập tin: com.apple.machook_damon.plist - thư mục: / Library / LaunchDaemons
- Tập tin: com.apple.globalupdate.plist - thư mục: / Library / LaunchDaemons
- Tập tin: com.apple.watchproc.plist - Thư mục: / Library / LaunchDaemons
- Tập tin: com.apple.itunesupdate.plist - thư mục: / Library / LaunchDaemons
- Tập tin: com.apple.appstore.plughelper.plist - thư mục: / System / Library / LaunchDaemons
- Tập tin: com.apple.MailServiceAgentHelper.plist - thư mục: / System / Library / LaunchDaemons
- Tập tin: com.apple.systemkeychain-helper.plist - thư mục: / System / Library / LaunchDaemons
- Tập tin: com.apple. Periodic-dd-mm-yy.plist - thư mục: / System / Library / LaunchDaemons
- Tập tin: globalupdate / usr / local / machook / - thư mục: / usr / bin
- Tệp: thư mục WatchProc: / usr / bin
- Tập tin: itunesupdate - thư mục: / usr / bin
- Tập tin: com.apple.MailServiceAgentHelper - thư mục: / usr / bin
- Tập tin: com.apple.appstore.PluginHelper - thư mục: / usr / bin
- Tập tin: periodicdate - thư mục: / usr / bin
- Tệp: systemkeychain-helper - thư mục: / usr / bin
- Tập tin: stty5.11.pl - thư mục: / usr / bin
Cách thoát khỏi phần mềm độc hại Wirelurker
Để xóa phần mềm độc hại, việc xóa các thành phần khác nhau khỏi các thư mục là đủ. Tuy nhiên, vì chúng được phân phối trong các thư mục khác nhau, nên việc tìm kiếm khá phức tạp. Một kịch bản python nhỏ làm việc cho bạn.
- Tải xuống tập lệnh WireLurkerDetector từ GitHub. Để thực hiện việc này, hãy khởi động thiết bị đầu cuối trên máy Mac của bạn và nhập lệnh "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py".
- Nhập lệnh "python WireLurkerDetectorOSX.py" để chạy tập lệnh. Sau đó, bạn thấy kết quả của máy dò.
- Sau đó, bạn phải đặt lại tất cả các thiết bị iOS được kết nối với máy Mac bị nhiễm.