MacOS: Ta bort skadlig programvara från Wirelurker
I detta praktiska tips förklarar vi vad skadlig programvara Wirelurker gör och hur du kan ta bort den.
Wirelurker: Vad han gör och var han kommer ifrån
- Wirelurker-skadlig kod kommer till din Mac via nedladdningar från den kinesiska nedladdningsportalen "Maiyadi App Store", antagligen via OS X-säkerhetsproblem "Rootpipe".
- Webbplatsen är känd för sitt brett utbud av piratkopierade kopior av populär programvara och används ofta.
- Malware skadar inte din Mac förutom att det startar en tjänst som körs i bakgrunden. Detta väntar bara på att du ska ansluta en iOS-enhet till Mac.
- Här registrerar Wirelurker sedan serienummer och telefonnummer, iTunes-kontodata och annan personlig information från iOS-enheten. Dessa skickas till en server. Om iOS-enheten är fängslad och afc2-tjänsten är påslagen, installeras ytterligare skadlig programvara. IMessages historia, kontakter från adressboken och annan data tappas sålunda och skickas till en server.
Det är här Wirelurker skadlig programvara fastnar
De enskilda komponenterna i Wirelurker är spridda över flera kataloger på din Mac. Följande lista visar filer och kataloger.
- Fil: run.sh - Katalog: / Användare / Kontonamn / offentligt
- File: com.apple.machook_damon.plist - katalog: / Library / LaunchDaemons
- File: com.apple.globalupdate.plist - katalog: / Library / LaunchDaemons
- File: com.apple.watchproc.plist - Katalog: / Library / LaunchDaemons
- File: com.apple.itunesupdate.plist - katalog: / Library / LaunchDaemons
- Fil: com.apple.appstore.plughelper.plist - katalog: / System / Library / LaunchDaemons
- Fil: com.apple.MailServiceAgentHelper.plist - katalog: / System / Library / LaunchDaemons
- Fil: com.apple.systemkeychain-helper.plist - katalog: / System / Library / LaunchDaemons
- Fil: com.apple.periodic-dd-mm-yy.plist - katalog: / System / Library / LaunchDaemons
- Fil: globalupdate / usr / local / machook / - katalog: / usr / bin
- Fil: WatchProc-katalog: / usr / bin
- Fil: itunesupdate - katalog: / usr / bin
- Fil: com.apple.MailServiceAgentHelper - katalog: / usr / bin
- Fil: com.apple.appstore.PluginHelper - katalog: / usr / bin
- Fil: periodicdate - katalog: / usr / bin
- File: systemkeychain-helper - katalog: / usr / bin
- Fil: stty5.11.pl - katalog: / usr / bin
Hur man kan bli av med Wirelurker skadlig programvara
För att ta bort skadlig programvara räcker det att ta bort de olika komponenterna från katalogerna. Men eftersom dessa distribueras i olika kataloger är sökningen ganska komplex. Ett litet pythonskript gör jobbet åt dig.
- Ladda ner WireLurkerDetector-skriptet från GitHub. För att göra detta, starta terminalen på din Mac och ange kommandot "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py".
- Ange kommandot "python WireLurkerDetectorOSX.py" för att köra skriptet. Då ser du resultatet av detektorn.
- Då måste du återställa alla iOS-enheter som är anslutna till den infekterade Mac-datorn.