MacOS: Odstraňte malware Wirelurker
V tomto praktickém tipu vysvětlujeme, co malware Wirelurker dělá a jak jej můžete odstranit.
Wirelurker: Co dělá a odkud pochází
- Malíř Wirelurker přichází na váš počítač Mac stažením z čínského stahovacího portálu „Maiyadi App Store“, pravděpodobně prostřednictvím bezpečnostní chyby „Rootpipe“ OS X.
- Tato stránka je známá svou širokou škálou pirátských kopií oblíbeného softwaru a je často používána.
- Malware nepoškodí váš Mac, kromě toho, že spustí službu běžící na pozadí. Čeká na vás připojení zařízení iOS k počítači Mac.
- Zde Wirelurker zaznamenává sériové a telefonní číslo, data účtu iTunes a další osobní údaje ze zařízení iOS. Ty jsou odeslány na server. Pokud je zařízení iOS jailbroken a služba afc2 je zapnutá, je nainstalován další malware. Historie iMessage, kontakty z adresáře a další data jsou tedy ťuknuty a odeslány na server.
Zde uvízne malware Wirelurker
Jednotlivé komponenty Wirelurker jsou na vašem Macu rozloženy do několika adresářů. Následující seznam zobrazuje soubory a adresáře.
- Soubor: run.sh - Adresář: / Users / Account Name / Public
- Soubor: com.apple.machook_damon.plist - adresář: / Library / LaunchDaemons
- Soubor: com.apple.globalupdate.plist - adresář: / Library / LaunchDaemons
- Soubor: com.apple.watchproc.plist - Adresář: / Library / LaunchDaemons
- Soubor: com.apple.itunesupdate.plist - adresář: / Library / LaunchDaemons
- Soubor: com.apple.appstore.plughelper.plist - adresář: / System / Library / LaunchDaemons
- Soubor: com.apple.MailServiceAgentHelper.plist - adresář: / System / Library / LaunchDaemons
- Soubor: com.apple.systemkeychain-helper.plist - adresář: / System / Library / LaunchDaemons
- Soubor: com.apple.periodic-dd-mm-yy.plist - adresář: / System / Library / LaunchDaemons
- Soubor: globalupdate / usr / local / machook / - adresář: / usr / bin
- Soubor: Adresář WatchProc: / usr / bin
- Soubor: itunesupdate - adresář: / usr / bin
- Soubor: com.apple.MailServiceAgentHelper - adresář: / usr / bin
- Soubor: com.apple.appstore.PluginHelper - adresář: / usr / bin
- Soubor: periodicdate - adresář: / usr / bin
- Soubor: systemkeychain-helper - adresář: / usr / bin
- Soubor: stty5.11.pl - adresář: / usr / bin
Jak se zbavit Wirelurker malwaru
K odstranění malwaru stačí odstranit různé komponenty z adresářů. Protože jsou však distribuovány v různých adresářích, je vyhledávání poměrně složité. Malý python skript dělá práci za vás.
- Stáhněte si skript WireLurkerDetector z GitHubu. Chcete-li to provést, spusťte na počítači Mac terminál a zadejte příkaz „curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py“.
- Chcete-li spustit skript, zadejte příkaz „python WireLurkerDetectorOSX.py“. Pak uvidíte výsledek detektoru.
- Poté musíte resetovat všechna zařízení iOS připojená k infikovanému počítači Mac.