MacOS: Wirelurker kötü amaçlı yazılımlarını kaldırma
Bu pratik ipucunda, Wirelurker'ın kötü amaçlı yazılımının ne yaptığını ve nasıl kaldırabileceğinizi açıklıyoruz.
Wirelurker: Yaptığı ve nereden geldiği
- Wirelurker kötü amaçlı yazılımı Mac'inize, muhtemelen OS X güvenlik açığı "Rootpipe" aracılığıyla Çin indirme portalı "Maiyadi App Store" dan indirmeler yoluyla ulaşır.
- Site, popüler yazılımın korsan kopyalarının geniş bir yelpazesi ile bilinir ve sıklıkla kullanılır.
- Kötü amaçlı yazılım Mac'inize zarar vermez, ancak arka planda çalışan bir hizmet başlatır. Bu sadece bir iOS cihazını Mac'e bağlamanızı bekliyor.
- Burada, Wirelurker daha sonra iOS aygıtından seri ve telefon numarasını, iTunes hesap verilerini ve diğer kişisel bilgileri kaydeder. Bunlar bir sunucuya gönderilir. İOS aygıtı hapse kırılmışsa ve afc2 hizmeti açıksa, ek kötü amaçlı yazılım yüklenir. İMessage'ın geçmişi, adres defterinden kişiler ve diğer veriler böylece dokunularak bir sunucuya gönderilir.
Wirelurker kötü amaçlı yazılımı burada takılıyor
Wirelurker'ın ayrı bileşenleri Mac'inizdeki çeşitli dizinlere yayılmıştır. Aşağıdaki listede dosya ve dizinler gösterilmektedir.
- Dosya: run.sh - Dizin: / Kullanıcılar / Hesap Adı / Genel
- Dosya: com.apple.machook_damon.plist - dizin: / Library / LaunchDaemons
- Dosya: com.apple.globalupdate.plist - dizin: / Library / LaunchDaemons
- Dosya: com.apple.watchproc.plist - Dizin: / Library / LaunchDaemons
- Dosya: com.apple.itunesupdate.plist - dizin: / Library / LaunchDaemons
- Dosya: com.apple.appstore.plughelper.plist - dizin: / System / Library / LaunchDaemons
- Dosya: com.apple.MailServiceAgentHelper.plist - dizin: / System / Library / LaunchDaemons
- Dosya: com.apple.systemkeychain-helper.plist - dizin: / System / Library / LaunchDaemons
- Dosya: com.apple.periodic-dd-mm-yy.plist - dizin: / System / Library / LaunchDaemons
- Dosya: globalupdate / usr / local / machook / - dizin: / usr / bin
- Dosya: WatchProc dizini: / usr / bin
- Dosya: itunesupdate - dizin: / usr / bin
- Dosya: com.apple.MailServiceAgentHelper - dizin: / usr / bin
- Dosya: com.apple.appstore.PluginHelper - dizin: / usr / bin
- Dosya: periodicdate - dizin: / usr / bin
- Dosya: systemkeychain-helper - dizin: / usr / bin
- Dosya: stty5.11.pl - dizin: / usr / bin
Wirelurker kötü amaçlı yazılımından kurtulma
Kötü amaçlı yazılımı kaldırmak için çeşitli bileşenleri dizinlerden silmek yeterlidir. Ancak, bunlar farklı dizinlerde dağıtıldığından, arama oldukça karmaşıktır. Küçük bir python betiği işi sizin için yapar.
- WireLurkerDetector komut dosyasını GitHub'dan indirin. Bunu yapmak için Mac'inizdeki terminali başlatın ve "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py" komutunu girin.
- Komut dosyasını çalıştırmak için "python WireLurkerDetectorOSX.py" komutunu girin. Sonra dedektörün sonucunu görürsünüz.
- Ardından, etkilenen Mac'e bağlı tüm iOS cihazlarını sıfırlamanız gerekir.