上一篇文章我們談論了用戶常見的惡意軟件感染途徑,下面再來說一說,感染後系統做了哪些改變,如果你有這些症狀,那很可能不經意間,你已經感染了這些malware。
用戶點擊和安裝惡意軟件後,後臺毫無提示的安裝了下面已發現的插件(實際比這還多)
安裝後,出現了下面的問題:
情況1:
明明是個隱藏文件,而且用戶沒有發出這樣的打開需求!
看看這個應用的安裝位置:
~/Library/Application\ Support/
2,用戶去Application下是找不到這個惡意插件的,而且Library目錄通常是隱藏的,普通用戶找不到這個應用。
3,選擇在App Store上搜索後,調用後根本就沒有結果
4,再看看選擇使用它自己的,using Mac File Opener 後的情況
推廣下載軟件,定向搜索其它內容,就是這個應用的設計目的之一,
其次,網上評價該軟件藏着可以竊取用戶私人信息,並且可以遠程控制用戶設備的惡意代碼。
情況2:安裝其它後臺軟件 Advanced mac cleaner
這個應用在spotlight和Applications目錄下根本沒有,被安裝在了Application support目錄下,
這個應用還在~/Library目錄下建立了三個文件夾來存儲配置,用了不同的名稱,malwarebyte都沒有掃描出全部路徑,至於配置裏面寫了哪些內容,後續再分析。
此外還有文件夾Mac Ads Cleaner,還有 Application support下面的ErrorReporter,個別文件夾刪除了還會再次創建,懷疑後臺有相關進程沒有關閉
後臺果然有相關的進程一直在運行,所以移除的時候還得殺掉對應的進程,否則還會自動創建對應的文件,甚至進行重啓;
最終,可以看到我們至少有6個文件夾的內容不是用戶自己想安裝的,文件夾內包含了各種配置和應用包。
不要隨意點擊裏面的程序包,否則可能會運行生成對應的配置,後臺下載不明文件。
最後,這次的這個惡意應用除了普通應用典型的安裝配置路徑外,增加了:
~/Library
~/Library/Application\ support 目錄
文件夾創建不只一個,plist文件創建不只一個,這是與其他正常應用不同的地方。
同類型的,別人分析的情況:
https://www.intego.com/mac-security-blog/silverinstaller-uses-new-techniques-to-install-puapup/
https://www.intego.com/mac-security-blog/fake-flash-player-update-infects-mac-with-scareware/
其他類型:
僞裝型,竊取資源或者內容
https://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/
加密用戶文件,勒索型
https://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
上面就是用戶感染後的一些表現情況,用戶在不知不覺中系統會出現一些異常,彈窗廣告,推廣,搜索劫持,主頁被更改等異常。