最近MAC OS X界受到很大關注的WireLurker惡意程式事件,直到最近被資安公司Palo Alto Ntworks整個爆發開來,該惡意程式據傳有開發者就在今年三月就已經發現,但沒有確實證據就沒特意提醒,該工具來源都指向大陸盜版網站Maiyadi(麥芽地),產地與來源都由這網站內流出,該網提供各種盜版MAC OS X APP與iOS APP免費提供用戶下載,但根據麥芽地聲明指出,這些都是來自國外破解、海盜灣等地收集而來,與該站無關!該網站上有467個OS X APP都有夾帶此惡意程式,已經有30萬以上用戶下載過,該惡意程式也會間接影響iOS用戶,此事件會造成多數MAC族群安危,特別教大家如何檢查與移除惡意程式。
WireLurker惡意程式
WireLurker惡意程式
該惡意程式擁有複雜的架構,感染途徑是用戶透過不知名網站下載的盜版APP後,該惡意程式就會感染Mac OS X裝置,當用戶透過USB連結iOS設備,惡意程式會直接安裝第三方APP進iOS系統中,目前已知WireLurker會將美圖秀秀,淘寶,支付寶正版移除,自己重新改造添加有WireLurker版本,常駐在背景自動下載,並趁機偷取用戶資料、聯絡人資料、iMessage回傳至指定主機內,外界推測WireLurker可能只是個開頭,未來會有更新的WireLurker變種惡意程式出現,對於無越獄用戶就無需擔心,因此惡意軟體已經被Apple給修正與阻擋。
2014/11/16 更新 惡意軟體果然出自於大陸麥芽地網站,三位程式開發人員已經被大陸公安逮捕。
防止感染WireLurker方法
1.嚴禁到Maiyadi(麥芽地)下載任何軟體。
2.不安裝盜版或來路不明Mac、iOS APP,避免受到惡意程式威脅。
3.正版與免費App請直接至AppStore上下載,不要透過第三方商店下載或更新。
iOS 用戶檢查感染教學
檢查看自己設備有無非安裝過的第三方App,將它們移除即可,如有下載過Maiyadi(麥芽地)App就有很大機率中標,其餘機率相當小。
MAC OS X 用戶檢查感染教學
Step 1. ▼ 進入「應用程式」>「工具程式」內,找到「終端機」工具。
Step 2. ▼ 執行檢測與移除工具
第一個指令:先輸入底下這行指令,先下載檢測腳本
curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py
第二個指令:接下來再輸入第二個指令,來執行WireLurkerDetectorOSX進行檢測
python WireLurkerDetectorOSX.py
最後會看到底下結果,如果是出現藍色區塊就表示恭喜你沒有中獎
WireLurker惡意程式移除方法(MAC OS X)
如果檢測到中獎的就會出現很多驚嘆號狀態與WARNING:Your OS X system is highly字眼,就表示這些MAC OS X內的APP都是摻雜WireLurker惡意程式,而iOS設備應該也無一倖免,建議將iPhone、iPad重灌。
而MAC OS X改怎麼移除?透過終端機在請執行一次第二個指令動作,就可以將這些App移除,直到出現上面Your OS X system isn't infected by the WireLurker. Thank you!狀態就算是正常,如擔心可重灌MAC OS X才是最安全上策。
Windows 用戶檢查感染教學
Step 1. 首先請先下載檢測工具,此款工具是由國外作者ltfish所開發,原始來源公開原始碼網站在此(連結),iOS.iM也針對這套工具進行線上掃毒(結果),結果就是總很安全的檢測程式免緊張。
檢測工具下載位置(備份下載位置):https://ltfish.org/files/WireLurkerCleaner.exe
Step 2. ▼ 開啟檢測工具,會跳出「Press any key to start scan:」按下鍵盤上的「Enter」就會開始掃描,此時就會將系統全部資料進行掃描一次。
Step 2. ▼ 當掃描完成時,最後顯示「Scan finished.」表示掃描結束,沒顯示任何東西表示沒事,按下隨便一個鍵就能關閉此程式。
WireLurker惡意程式移除方法(Windows)
如果發現有掃到的檔案,請將他們刪除,另外在「C:\Documents and Settings