[MAC資安]檢測WIN或Mac有無中WireLurker惡意程式與移除方法

最近MAC OS X界受到很大關注的WireLurker惡意程式事件,直到最近被資安公司Palo Alto Ntworks整個爆發開來,該惡意程式據傳有開發者就在今年三月就已經發現,但沒有確實證據就沒特意提醒,該工具來源都指向大陸盜版網站Maiyadi(麥芽地),產地與來源都由這網站內流出,該網提供各種盜版MAC OS X APP與iOS APP免費提供用戶下載,但根據麥芽地聲明指出,這些都是來自國外破解、海盜灣等地收集而來,與該站無關!該網站上有467個OS X APP都有夾帶此惡意程式,已經有30萬以上用戶下載過,該惡意程式也會間接影響iOS用戶,此事件會造成多數MAC族群安危,特別教大家如何檢查與移除惡意程式。

1415330417-3223020931_n  

WireLurker惡意程式

該惡意程式擁有複雜的架構,感染途徑是用戶透過不知名網站下載的盜版APP後,該惡意程式就會感染Mac OS X裝置,當用戶透過USB連結iOS設備,惡意程式會直接安裝第三方APP進iOS系統中,目前已知WireLurker會將美圖秀秀,淘寶,支付寶正版移除,自己重新改造添加有WireLurker版本,常駐在背景自動下載,並趁機偷取用戶資料、聯絡人資料、iMessage回傳至指定主機內,外界推測WireLurker可能只是個開頭,未來會有更新的WireLurker變種惡意程式出現,對於無越獄用戶就無需擔心,因此惡意軟體已經被Apple給修正與阻擋。

2014/11/16 更新 惡意軟體果然出自於大陸麥芽地網站,三位程式開發人員已經被大陸公安逮捕。

1416134727-1329973608_n  

防止感染WireLurker方法

  • 嚴禁到Maiyadi(麥芽地)下載任何軟體。
  • 不安裝盜版或來路不明Mac、iOS APP,避免受到惡意程式威脅。
  • 正版與免費App請直接至AppStore上下載,不要透過第三方商店下載或更新。

iOS 設備檢查感染教學

檢查看自己設備有無非安裝過的第三方App,將它們移除即可,如有下載過Maiyadi(麥芽地)App就有很大機率中標,其餘機率相當小。

MAC OS X 設備檢查感染教學

Step 1. ▼ 進入「應用程式」>「工具程式」內,找到「終端機」工具。

1415330528-3034079580_n

Step 2. ▼ 執行檢測與移除工具
第一個指令:先輸入底下這行指令,先下載檢測腳本

curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

第二個指令:接下來再輸入第二個指令,來執行WireLurkerDetectorOSX進行檢測

python WireLurkerDetectorOSX.py

 最後會看到底下結果,如果是出現藍色區塊就表示恭喜你沒有中獎

1415330528-1521014656

WireLurker惡意程式移除方法(MAC OS X)

如果檢測到中獎的就會出現很多驚嘆號狀態與WARNING:Your OS X system is highly字眼,就表示這些MAC OS X內的APP都是摻雜WireLurker惡意程式,而iOS設備應該也無一倖免,建議將iPhone、iPad重灌。

而MAC OS X改怎麼移除?透過終端機在請執行一次第二個指令動作,就可以將這些App移除,直到出現上面Your OS X system isn’t infected by the WireLurker. Thank you!狀態就算是正常,如擔心可重灌MAC OS X才是最安全上策。

螢幕快照 2014-11-07 上午11.28.07

 

Windows 用戶檢查感染教學

Step 1. 首先請先下載檢測工具,此款工具是由國外作者ltfish所開發,原始來源公開原始碼網站在此(連結),瘋先生也針對這套工具進行線上掃毒(結果),結果就是總很安全的檢測程式免緊張。

Step 2. ▼ 開啟檢測工具,會跳出「Press any key to start scan:」按下鍵盤上的「Enter」就會開始掃描,此時就會將系統全部資料進行掃描一次。

1415460915-12675500_n

Step 2. ▼  當掃描完成時,最後顯示「Scan finished.」表示掃描結束,沒顯示任何東西表示沒事,按下隨便一個鍵就能關閉此程式。   

1415461097-3430464125

WireLurker惡意程式移除方法(Windows)

如果發現有掃到的檔案,請將他們刪除,另外在「C:\Documents and Settings<USER>\Local Settings\Temp\」資料夾內,也會看見這兩個檔案的身影,分別是「apps.ipa」、「third.ipa」將這兩個檔案移除即可,沒有中獎的就不用找了!

喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團瘋先生LINE@訂閱瘋先生Google新聞TelegramInstagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。

返回頂端
Share to...