这是一个创建于 2070 天前的主题,其中的信息可能已经有所发展或是发生改变。
前言
前段时间突然发现 mac 的默认搜索引擎被改成了一个无法使用的网址。发现 chrome 被托管,而且按照网上删除托管的教程来操作也删不掉。当时正好也忙,也没时间搞,最后就删了 chrome,重新安装一个旧版本就可以了。可是可是...前几天,正在用电脑,chrome 突然崩掉了,再运行之后发现搜索引擎又被修改了。 这次不能忍了,决定干掉这个木马。
1. 查找木马
大家可以用 趋势安全大师来扫描磁盘。扫描是免费的,免费的,免费的(重要的事情讲三遍)。但是,杀毒就需要订阅了。不差钱的兄弟充钱就行。
2. 手动杀木马
<>对于我们差钱的人来说,还是自己手动删除吧(程序员的傲娇)。至于有没有杀干净还不确定,至少目前看是 ok 的。 我这次中的木马名叫 TrustedSafeFinder,这名字太有迷惑性了。还有一个木马是以 UUID 命名的,就不发出来了。木马在我电脑上做了哪些事情呢?下面列一下
- 修改 chrome 的搜索引擎(通过设置托管),而且被安装了一个扩展程序
- 修改本地代理,同时安装了 python 的
mitmproxy(非 pip 安装),应该是想用中间人攻击(访问 https 网站弹出不信任的话就要注意了)。 - 创建了 2 个随机命名的用户组
- 设置了开机启动 TrustedSafeFinder
- 疯狂的写 /tmp 目录 (有一天突然发现磁盘不够了,删掉了不用的大文件,一会又提醒了)
下面我们来一个一个解决这些问题。
2.1 修复 chrome
在网上搜到说 chrome 被托管是因为木马程序设置了描述文件, 所以我们在 chrome 中无法取消托管。 于是到 系统偏好设置里面删掉了描述文件,然后把 chrome 的设置恢复(删掉可以的扩展程序和修改搜索引擎)。删掉之后 chrome 就正常了。
注:一般来说我们自己不会用到这个
描述文件,出现描述文件的话就要注意了。
2.2 去除系统代理
系统偏好设置中打开网络, 点击高级,发现有一个可疑的代理,删掉。- 找到 mitmproxy, 使用命令
sudo find / -name .mitmproxy,找到相应的目录删掉就可以了。 我本地的是被安装在了/var/root目录下面,记住这些操作要用命令行来操作,因为偷偷安装的东西都是.xxxx,点开头的文件和目录在 mac 下算是隐藏文件。
2.3 删除非自己创建的用户组
系统偏好设置中打开用户和群组,删掉了用户组。
2.4 删除木马程序和开机启动 plist
1. 删除开机启动程序
一般来说木马不会把开机启动设置放到系统偏好设置里面,这些开机启动都是用 plist 文件来实现。 到下面的目录下看有没有可疑的 plist 文件,有的话删掉就行
/System/Library/LaunchAgents /System/Library/LaunchDaemons /System/Library/StartupItems /Library/LaunchAgents /Library/LaunchDaemons /Library/StartupItems ~/Library/LaunchAgents ~/Library/LaunchDaemons 2. 删除木马程序
使用命令找到木马程序
sudo find / -name TrustedSafeFinder 我本地找到了三个地方,然后删掉他们
sudo rm -rf /Library/Application\ Support/com.TrustedSafeFinderDaemon sudo rm -rf /System/Volumes/Data/Library/Application\ Support/com.TrustedSafeFinderDaemon sudo rm -rf /System/Volumes/Data/Users/wls/Library/Application\ Support/com.TrustedSafeFinder 注:我本地另一个木马也是用这种方式删掉了。
2.5 确认 /var/root下面有没有可以的东西
我本地删了下面这些目录。其中.TrustedSafeFinder 和 .mitmproxy目录下都是有可执行的 python 文件
sudo rm -rf /var/root/.TrustedSafeFinder/ sudo rm -rf /var/root/.mitmproxy sudo rm -rf /var/root/.CFUserTextEncoding sudo rm -rf /var/root/.oracle_jre_usage sudo rm -rf /var/root/.Trash/ sudo rm -rf /var/root/.forward sudo rm -rf /var/root/.scala_history sudo rm -rf /var/root/.vnc 3. 再次确认
用趋势安全大师再扫描一遍,没有了就行。
 | 1 littlewing 2020-04-02 18:23:42 +08:00 via iPhone 能确定这个木马是怎么装上去的吗? |
 | 2 loading 2020-04-02 18:50:59 +08:00 via Android  2 我怀疑是最后一步那个什么大师的推广 |
 | 3 Mithril 2020-04-02 18:57:08 +08:00 @loading 这软件用不着推广吧。之前用过那个趋势企业版,自我保护能力趋近于 0. 随随便便自己就崩了,根本用不着病毒去针对它,一个脚本都能玩死。 这水平的杀软还有啥可推广的。 |
 | 4 1002xin 2020-04-02 19:36:58 +08:00 via iPhone 大师... |
 | 5 ArJun 2020-04-02 19:46:20 +08:00 哪有那么多病毒 |
 | 7 dx123 2020-04-02 20:01:22 +08:00 via Android 趋势。。。自己公司的人都不太愿意装。。。 |
 | 8 lswang OP @littlewing 这个真不好确定,有时候会安装一些非 app store 上的软件,大概率是这些软件里面嵌入了木马 |
| 10 lswang OP @littlewing 还有一个可能是我用 brew 安装过不少东西,不知道会不会是 brew 仓库上的一些软件嵌入恶意代码 |
 | 11 zfree 2020-04-04 10:33:26 +08:00 via iPhone 还挺折腾的 |
 | 12 leeyom 2020-04-04 19:53:21 +08:00 via iPhone 怕就是那个大师是病毒吧 |
Select Language