前段时间突然发现 mac 的默认搜索引擎被改成了一个无法使用的网址。发现 chrome 被托管,而且按照网上删除托管的教程来操作也删不掉。当时正好也忙,也没时间搞,最后就删了 chrome,重新安装一个旧版本就可以了。可是可是...前几天,正在用电脑,chrome 突然崩掉了,再运行之后发现搜索引擎又被修改了。 这次不能忍了,决定干掉这个木马。
大家可以用 趋势安全大师来扫描磁盘。扫描是免费的,免费的,免费的(重要的事情讲三遍)。但是,杀毒就需要订阅了。不差钱的兄弟充钱就行。
对于我们差钱的人来说,还是自己手动删除吧(程序员的傲娇)。至于有没有杀干净还不确定,至少目前看是 ok 的。 我这次中的木马名叫 TrustedSafeFinder,这名字太有迷惑性了。还有一个木马是以 UUID 命名的,就不发出来了。
木马在我电脑上做了哪些事情呢?下面列一下
mitmproxy (非 pip 安装),应该是想用中间人攻击(访问 https 网站弹出不信任的话就要注意了)。下面我们来一个一个解决这些问题。
在网上搜到说 chrome 被托管是因为木马程序设置了描述文件, 所以我们在 chrome 中无法取消托管。
于是到 系统偏好设置里面删掉了描述文件,然后把 chrome 的设置恢复(删掉可以的扩展程序和修改搜索引擎)。删掉之后 chrome 就正常了。
注:一般来说我们自己不会用到这个
描述文件,出现描述文件的话就要注意了。
系统偏好设置中打开网络, 点击高级,发现有一个可疑的代理,删掉。sudo find / -name .mitmproxy,找到相应的目录删掉就可以了。
我本地的是被安装在了 /var/root 目录下面,记住这些操作要用命令行来操作,因为偷偷安装的东西都是 .xxxx,点开头的文件和目录在 mac 下算是隐藏文件。系统偏好设置中打开用户和群组,删掉了用户组。
一般来说木马不会把开机启动设置放到系统偏好设置里面,这些开机启动都是用 plist 文件来实现。
到下面的目录下看有没有可疑的 plist 文件,有的话删掉就行
/System/Library/LaunchAgents
/System/Library/LaunchDaemons
/System/Library/StartupItems
/Library/LaunchAgents
/Library/LaunchDaemons
/Library/StartupItems
~/Library/LaunchAgents
~/Library/LaunchDaemons
使用命令找到木马程序
sudo find / -name TrustedSafeFinder
我本地找到了三个地方,然后删掉他们
sudo rm -rf /Library/Application\ Support/com.TrustedSafeFinderDaemon
sudo rm -rf /System/Volumes/Data/Library/Application\ Support/com.TrustedSafeFinderDaemon
sudo rm -rf /System/Volumes/Data/Users/wls/Library/Application\ Support/com.TrustedSafeFinder
注:我本地另一个木马也是用这种方式删掉了。
/var/root下面有没有可以的东西我本地删了下面这些目录。其中.TrustedSafeFinder 和 .mitmproxy目录下都是有可执行的 python 文件
sudo rm -rf /var/root/.TrustedSafeFinder/
sudo rm -rf /var/root/.mitmproxy
sudo rm -rf /var/root/.CFUserTextEncoding
sudo rm -rf /var/root/.oracle_jre_usage
sudo rm -rf /var/root/.Trash/
sudo rm -rf /var/root/.forward
sudo rm -rf /var/root/.scala_history
sudo rm -rf /var/root/.vnc
用趋势安全大师再扫描一遍,没有了就行。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.