很久沒來記錄工作的點點滴滴了,趁這周有空,整理了下前期梳理的某些方面問題的處理和解決辦法。
前段時間,很多用戶反饋感染了malware,Adware,惡意插件之類的,苦於缺少環境,沒有真實環境,缺少可靠信息等現實問題,這邊根據用戶提供的關鍵信息,模擬了下感染過程。
本文topic是:e.tre456_worm_osx & AppleCareProtection Plan問題被感染的過程
1,用戶瀏覽到不明來源的信息或者點擊不明鏈接後,會出現如下情況:
(1)提示Adobe flash更新情況
如果稍微仔細點,可以看出根本就不是官方的鏈接,點擊了後面很有可能被安裝僞裝插件,但用戶卻不知道
點擊就會被下載不明軟件
(2)僞裝flash更新情況
下載安裝,就中招了,其實安裝過程也可以發現問題
後臺還不停下載其他插件,用戶看到的閃屏,Safari異常等出現
後臺不停下載軟件,被安裝,
安裝過程中,抓取到的一些異常下載
http://cdn.simplyeapps.com/screens/precheck/DmFybQ==
http://fpdownload.adobe.com/get/flashplayer/pdc/26.0.0.137/install_flash_player_osx.dmg
http://dl.simplyeapps.com/download/854d4bf9-2878-492a-985a-c585765befb9
http://cdn.simplyeapps.com/screens/complete/DmFybQ==
http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=26.0.0.137&lang=en&cpuWordLength=64&cpuArch=x86_64
http://install.mughthesec.com/lg
http://api.mughthesec.com/ai
http://install.mughthesec.com/lg
http://api.mughthesec.com/l
http://sr.symcd.com/MFYwVKADAgEAME0wSzBJMAkGBSsOAwIaBQAEFHQkFGcGn%2FXgmD9ePhproGUqVBV1BBQBWavn3ToLWaZkY9bPIAdX1ZHnagIQL5FAPdYYNkYWK73FAAN84A%3D%3D
http://ocsp.apple.com/ocsp-devid02/ME4wTKADAgEAMEUwQzBBMAkGBSsOAwIaBQAEFDOB0e%2FbaLCFIU0u76%2BMSmlkPCpsBBRXF%2B2iz9x8mKEQ4Py%2Bhy0s8uMXVAIIJ5xWXkLVr%2Bc%3D
http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=0.0.0.0&lang=en&cpuWordLength=64&cpuArch=x86_64
安裝了booking,AdobeAAMDetect.plugin等應用。
暫時還不清楚上面的下載是幹什麼,有什麼用處。反正最後,就是在一些你不清楚的文件目錄給你安裝了一些惡意劫持的軟件、插件。
(3) 訪問到不明頁面,被恐嚇,還冒充蘋果的官網,實際上還是誘導用戶賣軟件!
一個假的掃描動作,然後告訴你感染很厲害,很嚴重。多執行幾次,結果都不一樣,可以看出是個假的。
實際上是某個不知廉恥的公司在賣軟件!
其它避免方法:
1)安全中,關閉安裝任意來源的軟件,可以較好的避免應用後臺隨意安裝;
2)授權時要看清楚;
3)不明鏈接的不點擊,及時離開。