標籤:

中國的惡意軟體 WireLurker 是什麼東西?

01-06

已感染的 iOS 設備和 Mac 設備如何解決?

睡前看到有些不靠譜回答忍不住爬起來說下。

Updated 11.7:

AlienVault提供了新的PC上的WireLurker樣本,該木馬偽裝成「綠色IPA安裝器」,通過usb向連接越獄的iOS設備上安裝木馬。同時該樣本中有更多木馬作者和X芽地相關聯的證據。ref: WireLurker for Windows

Wireluker的中控伺服器已經下線,Apple也吊銷了其安裝應用所使用的企業開發者證書。但是倒了一個wireluker,千千萬萬個wireluker站起來,不要低估國人的模仿能力。這次如果木馬作者和利益群體得不到懲處,只會有更多人這麼干。而且從央視幸災樂禍的報道來看,似乎zf也無意深究此事。

部分事件原文請見 http://www.quchao.com

引用部分如下:

【2014.06.01 發布】

最近我所有未越獄的 iOS 設備都出現了一個怪現象:

與 Mac 同步之後會莫名出現若干企業應用。

第一次是 5 月 21 日出現的「PP助手正版」(下圖),

接著一周後出現了「亂世之刃2」。

第二次出現奇怪的應用之時引起了我的注意。(頭一次被我手快直接刪除了)

首先在「描述文件」中皆出現了開發商證書(下圖);

其次首次啟動該應用會彈出確認。

這個其實跟前段時間v2ex上曝光的machook木馬是一個東西,目前普遍懷疑木馬製作者DY在mXcx和X芽地網站分發的盜版OS X應用中插入了machook木馬,有傳聞木馬作者和這兩家公司有直接利益/僱傭關係(不可考)。比較搞笑的是在v2ex上發出曝光帖子之後,某網站的管理員忙不迭地發出律師貼要求v2ex刪帖,簡直是不打自招 =&> 那個關於 Machook 木馬社工的帖子刪除了

該木馬在OS X端除了自啟動、和控制伺服器通訊更新、請求root許可權、對抗用戶清除、盜取用戶隱私信息這些PC時代木馬通常的手段之外,引起轟動的是該木馬利用企業證書和itunes協議,向iPhone上安裝木馬,切實給未越獄的/越獄的iPhone帶來了威脅。這不是什麼新鮮的技術,完全是在未越獄/越獄的iPhone的技術框架允許範圍之內,沒有利用未知/已知漏洞。但是這龐大的一條黑色產業鏈和國人做黑產豐富的想像力,還是第一次曝光在公眾面前。在非越獄的設備上,木馬會通過企業證書靜默安裝應用以做推廣一些國產應用進而牟利。由於走了企業證書通道,木馬甚至可以安裝沒有經過Apple Store Review的使用私有API的應用,和自行重打包的應用(有沒有想到了Android上的重打包?),在越獄的iPhone上,這個木馬就有了大很多的施展空間,行為包括注入感染所有新安裝的應用、竊取淘寶、美圖秀秀、支付寶數據,讀取上傳通訊錄appid wifi名稱 地址、劫持按鍵和網頁瀏覽行為等等等等。

Palo Alto發出的WireLurker分析文檔還是很全面詳細的,贊一個,有興趣的可以仔細研讀下 https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf。 這篇文章里提到該木馬已經演進了三個版本,在第二個版本中加入了感染iPhone的功能。

這個問題也並不是Mac所獨有的,因為windows上也可以通過同樣的協議給配對的iOS設備安裝應用,就像很多PC軟體用adb給安卓手機安裝應用一樣。

但是目前這件事在國內正逐漸往公關秀和添油加醋的報道上發展,至於這些由盜版軟體帶來的真正的威脅及應該進行的不要使用盜版軟體的教育,和對木馬製作者和相關方面的懲處,似乎有些消匿。全球黑色產業嶄新的一頁被媒體報道就變味了,央視的跟風報道由於記者缺乏專業素養,表達問題不清楚,將OSX第三方應用市場和iOS第三方應用市場混為一談,很多人也壓根不知道未越獄的iPhone通過企業證書途徑是可以被靜默安裝應用的,導致很多人跟看笑話一樣看這個新聞。

木馬清除方法:PaloAltoNetworks-BD/WireLurkerDetector · GitHub

此外用little snitch等防火牆軟體監控有沒有進程連接到http://comeinbaby.com,有則也是被感染的應用,將其刪除。

別用盜版,只允許簽名應用程序運行。

雖然我沒讀過專業的定義,但是以我多年來對計算機的熱情來看,這跟病毒8杆子打不著邊吧?

這種要用戶授權的東西只能叫「惡意軟體」、「流氓軟體」,哪配叫病毒?

搜來wiki定義如下:

電腦病毒,或稱計算機病毒。是一種在人為或非人為的情況下產生的、在用戶不知情或未批准下,能自我複製或運行的電腦程序;電腦病毒往往會影響受感染電腦的正常運作。

搜一下新聞,記者不要臉沒文化的本性一覽無遺。

iOS淪陷!居然也被病毒攻破

所以說,記者最缺的就是「職業道德」和「科學文化知識」。

mac 的上

PaloAltoNetworks-BD/WireLurkerDetector · GitHub

下一下代碼檢查一下。有的話終端用rm 的方法刪除一下,ios暫時不知。

記者也是醉了,這也算病毒么?區區靜默安裝幾個應用也算病毒么!君不見搜狗輸入法、百度瀏覽器都在默默強加到你的電腦上,明明選擇卸載最後卻是重新安裝的應用還少么!這也算病毒,國人也是醉了。

macx有個 mac 軟體寶箱,每次啟動都會誘導用戶輸入用戶密碼,而且居然不是利用系統自帶的授權窗口。。。你敢不敢輸,反正我不敢。

數字公司投資的網站,分發重新打包的盜版軟體,裡面加了木馬。

此木馬君會自動下載安裝軟體,刷刷榜什麼的。

我說最近老是聽到mac平台sdk的case呢。。。。

推薦閱讀:

為什麼Windows不內置Perl,Python等編程語言環境?
為什麼 Chrome、Firefox 等最受歡迎的瀏覽器沒有進入 Mac App Store?
為什麼微軟的visual studio code不是來自identified developers?
作為一個 Emacs、終端、瀏覽器的重度用戶,在考慮價格因素的情況下,你是否認為 Mac OS 比 Linux 發行版更值得使用?

TAG:MacBook | macOS | iOS | 計算機病毒 |