MacOS: Fjern Wirelurker malware
I dette praktiske tip forklarer vi, hvad malware Wirelurker gør, og hvordan du kan fjerne det.
Wirelurker: Hvad han gør, og hvor han kommer fra
- Wirelurker-malware ankommer til din Mac via downloads fra den kinesiske downloadportal “Maiyadi App Store”, formodentlig via OS X-sikkerhedssårbarhed "Rootpipe".
- Webstedet er kendt for sit brede udvalg af piratkopier af populær software og bruges ofte.
- Malwaren skader ikke din Mac, bortset fra at den starter en service, der kører i baggrunden. Dette venter bare på, at du slutter en iOS-enhed til Mac'en.
- Her registrerer Wirelurker derefter serienummer og telefonnummer, iTunes-kontodata og andre personlige detaljer fra iOS-enheden. Disse sendes til en server. Hvis iOS-enheden er jailbroken, og afc2-tjenesten er tændt, installeres yderligere malware. IMessages historie, kontakter fra adressebogen og andre data tappes således og sendes til en server.
Det er her Wirelurker malware sidder fast
De individuelle komponenter i Wirelurker er spredt over flere mapper på din Mac. Følgende liste viser filer og mapper.
- Fil: run.sh - Directory: / Brugere / Kontonavn / Offentlig
- Fil: com.apple.machook_damon.plist - bibliotek: / Bibliotek / LaunchDaemons
- Fil: com.apple.globalupdate.plist - bibliotek: / Bibliotek / LaunchDaemons
- Fil: com.apple.watchproc.plist - Directory: / Library / LaunchDaemons
- Fil: com.apple.itunesupdate.plist - bibliotek: / Bibliotek / LaunchDaemons
- Fil: com.apple.appstore.plughelper.plist - bibliotek: / System / Bibliotek / LaunchDaemons
- Fil: com.apple.MailServiceAgentHelper.plist - bibliotek: / System / Bibliotek / LaunchDaemons
- Fil: com.apple.systemkeychain-helper.plist - bibliotek: / System / Library / LaunchDaemons
- Fil: com.apple.periodic-dd-mm-yy.plist - bibliotek: / System / Bibliotek / LaunchDaemons
- Fil: globalupdate / usr / local / machook / - bibliotek: / usr / bin
- Fil: WatchProc-bibliotek: / usr / bin
- Fil: itunesupdate - bibliotek: / usr / bin
- Fil: com.apple.MailServiceAgentHelper - bibliotek: / usr / bin
- Fil: com.apple.appstore.PluginHelper - bibliotek: / usr / bin
- Fil: periodicdate - bibliotek: / usr / bin
- Fil: systemkeychain-helper - bibliotek: / usr / bin
- Fil: stty5.11.pl - bibliotek: / usr / bin
Sådan slipper du af Wirelurker malware
For at fjerne malware er det tilstrækkeligt at slette de forskellige komponenter fra bibliotekerne. Da disse distribueres i forskellige mapper, er søgningen imidlertid ret kompliceret. Et lille python-script gør arbejdet for dig.
- Download WireLurkerDetector-scriptet fra GitHub. For at gøre dette skal du starte terminalen på din Mac og indtaste kommandoen "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py".
- Indtast kommandoen "python WireLurkerDetectorOSX.py" for at køre scriptet. Så ser du resultatet af detektoren.
- Derefter skal du nulstille alle iOS-enheder, der er tilsluttet den inficerede Mac.