Mac OSX 系統下常見malware感染的過程與分析
很久沒來記錄工作的點點滴滴了,趁這周有空,整理了下前期梳理的某些方面問題的處理和解決辦法。
前段時間,很多使用者反饋感染了malware,Adware,惡意外掛之類的,苦於缺少環境,沒有真實環境,缺少可靠資訊等現實問題,這邊根據使用者提供的關鍵資訊,模擬了下感染過程。
本文topic是:e.tre456_worm_osx & AppleCareProtection Plan問題被感染的過程
1,使用者瀏覽到不明來源的資訊或者點選不明連結後,會出現如下情況:
(1)提示Adobe flash更新情況
如果稍微仔細點,可以看出根本就不是官方的連結,點選了後面很有可能被安裝偽裝外掛,但使用者卻不知道
點選就會被下載不明軟體
(2)偽裝flash更新情況
下載安裝,就中招了,其實安裝過程也可以發現問題
後臺還不停下載其他外掛,使用者看到的閃屏,Safari異常等出現
後臺不停下載軟體,被安裝,
安裝過程中,抓取到的一些異常下載
http://cdn.simplyeapps.com/screens/precheck/DmFybQ==
http://fpdownload.adobe.com/get/flashplayer/pdc/26.0.0.137/
http://dl.simplyeapps.com/download/854d4bf9-2878-492a-985a-c585765befb9
http://cdn.simplyeapps.com/screens/complete/DmFybQ==
http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=26.0.0.137&lang=en&cpuWordLength=64&cpuArch=x86_64
http://install.mughthesec.com/lg
http://api.mughthesec.com/ai
http://install.mughthesec.com/lg
http://api.mughthesec.com/l
http://sr.symcd.com/MFYwVKADAgEAME0wSzBJMAkGBSsOAwIaBQAEFHQkFGcGn%2FXgmD9ePhproGUqVBV1BBQBWavn3ToLWaZkY9bPIAdX1ZHnagIQL5FAPdYYNkYWK73FAAN84A%3D%3D
http://ocsp.apple.com/ocsp-devid02/ME4wTKADAgEAMEUwQzBBMAkGBSsOAwIaBQAEFDOB0e%2FbaLCFIU0u76%2BMSmlkPCpsBBRXF%2B2iz9x8mKEQ4Py%2Bhy0s8uMXVAIIJ5xWXkLVr%2Bc%3D
http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=0.0.0.0&lang=en&cpuWordLength=64&cpuArch=x86_64
安裝了booking,AdobeAAMDetect.plugin等應用。
暫時還不清楚上面的下載是幹什麼,有什麼用處。反正最後,就是在一些你不清楚的檔案目錄給你安裝了一些惡意劫持的軟體、外掛。
(3) 訪問到不明頁面,被恐嚇,還冒充蘋果的官網,實際上還是誘導使用者賣軟體!
一個假的掃描動作,然後告訴你感染很厲害,很嚴重。多執行幾次,結果都不一樣,可以看出是個假的。
實際上是某個不知廉恥的公司在賣軟體!
其它避免方法:
1)安全中,關閉安裝任意來源的軟體,可以較好的避免應用後臺隨意安裝;
2)授權時要看清楚;
3)不明連結的不點選,及時離開。