关于 mac 恶意软件 Adware/Bundlore 的移除 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
a1knla
V2EX    macOS

关于 mac 恶意软件 Adware/Bundlore 的移除

  •   
  •   a1knla 2022-05-18 07:11:43 +08:00 4623 次点击
    这是一个创建于 1299 天前的主题,其中的信息可能已经有所发展或是发生改变。

    系统:Monterey 12.4 起因:下破解版的软件,因为急着用,根本没注意伪装成 pkg 安装包的 command 脚本,给了 root 权限,才意识到翻车了~

    把 dmg 内容倒腾出来,是一长串 base64 附带一个 sh 脚本将其 decode 为二进制(Mach-O 64-bit executable x86_64),放到 /tmp 执行后删除,执行前还会贴心的给装 Rosett 。

    设法得到了它藏的二进制,上传 viruscan 基本实锤是 Adware/Bundlore ,有个问题想请教各位:如果 LaunchAgent 和 LaunchDaemon 下无可疑项目,并且用 CleanMyMac 全盘扫过一次了,进程列表里面也没有不对劲的东西,算是安全了吗?

    二进制传到这里了 drive dot google dot com/file/d/10hV-UK4XJ7UlAd8SDI9eeHu1AaK0XIyK/view?usp=sharing 供会逆向的大佬研究研究

  • 二进制
  • bundlore
  • adware
  • dot
    27 条回复    2022-06-07 15:46:22 +08:00
    classiccc
        1
    classiccc  
       2022-05-18 07:52:15 +08:00
    插眼关注,如果转了不少破解软件,有什么好方法查杀可疑项目呀?
    luckykong
        2
    luckykong  
       2022-05-18 08:50:28 +08:00
    同样有这个担心。。想问下有没有好用查杀软件。
    eset 这种传统的 windows 的杀毒软件,mac 下表现如何呢?
    NaNoBo
        3
    NaNoBo  
       2022-05-18 11:29:29 +08:00
    @luckykong 我安装了 bitdefender ,现在从网络上下载的软件先扫描一下。
    xiyangzh
        4
    xiyangzh  
       2022-05-18 11:53:32 +08:00
    二进制文件下载不了了,google 给你删了吧
    zhandouji
        5
    zhandouji  
       2022-05-18 12:10:35 +08:00
    不用破解软件,用免费开源软件就没这麻烦。吃饭的家伙应该花钱买。
    yousabuk
        6
    yousabuk  
       2022-05-18 13:20:00 +08:00 via iPhone
    一直不敢下载破解好的软件进行安装

    想想:人家凭什么义务奉献?
    cuff
        7
    cuff  
       2022-05-18 13:21:42 +08:00
    我看了一下我有一个 com.yelab.AdwareRemovalHelper ,但是想不到是什么时候装的?这个进程是干什么的呢?
    cuff
        8
    cuff  
       2022-05-18 13:26:27 +08:00
    @cuff 自己回复自己,在 cleanmymac 里可以从优化-启动代理将其移出,不知道以后还会不会出现
    murmur
        9
    murmur  
       2022-05-18 13:27:38 +08:00
    @Livid 这种话题能讨论么,我记得 v 站是不支持盗版的,虽然这个不是盗版下载贴
    idealhs
        10
    idealhs  
       2022-05-18 13:38:26 +08:00   3
    无聊,讨论个杀毒都能歪到破解?
    stephCurry
        11
    stephCurry  
       2022-05-18 17:58:30 +08:00
    既然恶意脚本移动到 /tmp 执行后删除了,那么原理上重启后就没事了,但恶意脚本通常会在 crontab 里面定时启动。Linux 经验来收,检查下 /etc/crontab 下所有 daily weekly 等任务,同时分析下恶意脚本内容。
    dingwen07
        12
    dingwen07  
       2022-05-18 18:22:10 +08:00
    链接被 Google 干掉了
    难道 Google Drive 分享也和 Gmail 一样带病毒扫描的吗
    dingwen07
        13
    dingwen07  
       2022-05-18 18:23:40 +08:00
    顺便提一下,我打开 PKG 之前一般都会看一下它会运行哪些脚本再定夺是否安装,op 用电脑还是得小心啊,不管什么系统
    a1knla
        14
    a1knla  
    OP
       2022-05-18 18:53:53 +08:00
    @xiyangzh 是的,谷歌原来还会管这个
        15
    a1knla  
    OP
       2022-05-18 18:54:21 +08:00
    @zhandouji 还是学生哈哈,不过为了省心已入正版
    a1knla
    a1knla
        16
    a1knla  
    OP
       2022-05-18 19:01:38 +08:00
    @yousabuk 很有道理!

    @cuff 好像查不到这个包的信息

    @stephCurry 感谢提醒,忘记了 crontab

    @dingwen07 是的我也刚知道个人网盘的内容也会被扫毒,收到了谷歌的邮件说这个文件因为有病毒所以删了,我放到了 https://github.com/hatsune-miku/bibobibo/blob/main/malware
    谢谢提醒!
    CivAx
        17
    CivAx  
       2022-05-18 20:10:59 +08:00
    注意有没有释放和加载恶意 Kext 就行了,这可能是 mac 在病毒防护逻辑上唯一跟 Windows 近似的地方,其他就是常规的 Linux 检查项:启动项 /服务、crontab 、进程、资源占用、陌生脚本
    nicevar
        18
    nicevar  
       2022-05-18 20:26:27 +08:00
    很多破解软件都绑了,特别是的 PD ,老毛子捆绑的,我最初发现是我们同事的电脑中招了,为了用破解的,请求授权自己就输入密码通过了,其实很多 macOS 用户都中招了,只是自己发现不了,然后还整天觉得 macOS 很安全,须不知已经当了肉鸡多长时间都不知道
    a1knla
        19
    a1knla  
    OP
       2022-05-18 20:35:19 +08:00
    @CivAx 嗯嗯,看了 kext 的列表好像都是正常的,谢谢!

    @nicevar 我就是装 PD 中招了哈哈
    luoyayu
        20
    luoyayu  
       2022-05-18 20:57:53 +08:00
    https://objective-see.org/tools.html 一些开源的 Mac 安全工具
    luckykong
        21
    luckykong  
       2022-05-18 21:37:31 +08:00
    “恶意软件”是如何跟“破解”划等号的?
    不用破解版的软件,就不担心中毒? mac 系统这么安全?
    a1knla
        22
    a1knla  
    OP
       2022-05-19 05:50:51 +08:00
    @luckykong 没有画等号~我是说我在装破解版软件的时候,不小心遇到了伪装成破解版软件的恶意软件。当然不是只要不用破解版软件就不担心中毒

    @luoyayu 谢谢!
    sickoo
        23
    sickoo  
       2022-05-19 09:57:19 +08:00   1
    @a1knla op ,我从 macwk 上面下的 pd ,就装过一次,然后卸载了,怎么知道有无中招
    luckykong
        24
    luckykong  
       2022-05-19 11:14:53 +08:00
    @a1knla 我是说上面其他人,比如 murmur
    a1knla
        25
    a1knla  
    OP
       2022-05-19 12:58:12 +08:00
    @luckykong 我看错了,不好意思!

    @sickoo 我装了一个开源的 KnockKnock ( https://github.com/objective-see/KnockKnock) 可以把系统中各个敏感区域比如启动项都扫一遍,然后看看有没有可疑的项目吧
    EnochZack
        26
    EnochZack  
       2022-06-04 19:15:55 +08:00
    @luckykong 从系统破坏性上说只要不关闭 sip mac 系统是安全的,但是不代表你的数据是安全的
    vain
        27
    vain  
       2022-06-07 15:46:22 +08:00
    @EnochZack big sur 以后系统的重要文件都是只读的了,只在运行时创建 instance 。理论上只有 apple 自己的 updater 程序才能修改,我找了不少办法都没能成功修改。
    所以保护好用户数据,做好备份防勒索软件就能应付大多数的威胁了。
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2603 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 25ms UTC 12:02 PVG 20:02 LAX 04:02 JFK 07:02
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86