1. 程式人生 > >macOS下malware移除實戰之AnySearch的變種AuraSearch
移除

macOS下malware移除實戰之AnySearch的變種AuraSearch
移除

宣告:

由於網路中的病毒/malware等存在隨時變異或者對應多種感染方式等情況,本文所針對的處理方法僅針對本次樣本負責,個人如有誤操作,後果自負。如需幫助,可以掃我頭像加我微信!

前段時間收到反饋,某人感染了malware,大致的描述內容如下:

my browser has been hacked by any search manager and I need to get it removed. 

 

向對方獲取了一些基本的檔案和瀏覽器資訊,發給解決問題的指令碼,據對方回答是解決了,現將這個問題的相關可疑檔案和路徑公佈出來,以給有同樣問題的讀者參考。

如果你有發現近期出現問題前後才生成的下述檔案,請將其通過terminal終端執行進行移除。

根據使用者反饋的資訊,初步懷疑跟下述路徑及其Safari或Chrome安裝的外掛有關:

~/Library/sisinfo.plist

/Library/LaunchDaemons/com.AuraSearchDaemon.plist

~/Library/LaunchAgents/com.AuraSearch.plist
~/Library/Application\\ Support/com.AuraSearch
/Library/Internet\\ Plug-Ins/Flash\\ Player.plugin
~/Library/Application\\ Support/Google/Chrome/Default/Extensions/phbinndijkbhpejedkobjmihghleneji
~/Library/Safari/Extensions/SearchIt.safariextz

 

實際上,上述檔案已經對當前Mac系統的影響不大,即使有誤刪,後期根據需要可以重新安裝,所以刪除不會影響系統的正常執行。

可疑檔案全部移除完成後,最好重置瀏覽器,或者移除之前的保持資料

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState

 

再啟動檢視是否恢復正常。

 

如果覺得本文對你有幫助,那就贊一個或者評論一個吧!