macOS下malware移除實戰之Qsearch瀏覽器劫持的移除

聲明：

由於網絡中的病毒virus/malware等存在隨時變異或者對應多種感染方式等情況，本文所針對的處理方法僅針對本次樣本負責，個人如有誤操作，後果自負。如需幫助，可以掃我頭像加我微信！

前段時間收到反饋，某人感染了malware，瀏覽器被劫持，大致的表現情況截圖如下：

從截圖可以看出，顯然是被一個名爲Qsearch的惡意插件修改了主頁，發生了主頁修改劫持，向對方獲取了一些基本的文件和瀏覽器信息，發給解決問題的腳本，現將這個問題的相關可疑文件和路徑公佈出來，以給有同樣問題的讀者參考。

其進程相關的信息：

PID	Status	Label
-	78	/Users/XXX/Library/UpdateMac/MacPerformance/MacPerformance

安裝可疑記錄：

2019-02-13 10:26:52-05 Aons-Air installd[585]: Installed "Adobe Acrobat DC (19.010.20091)" ()
2019-02-20 13:25:29-05 Aons-Air system_installd[2238]: Installed "Gatekeeper Configuration Data" (163)
2019-02-21 09:23:48-05 Aons-Air installd[571]: Installed "Adobe Acrobat DC (19.010.20098)" ()
2019-02-21 18:27:43-05 Aons-Air system_installd[12153]: Installed "MRTConfigData" (1.40)
2019-02-21 22:36:43-05 Aons-Air system_installd[13063]: Installed "Security Update 2019-001" (10.13.6)
Feb 22 03:45:31 Aons-Air OSInstaller[549]: Installed "Security Update 2019-001" (10.13.6)
        PostLogoutUpdatesInstalled =     {
                InstalledLater = 1;
2019-03-17 18:06:19-04 Aons-MacBook-Air installd[1057]: Installed "Slack" (3.3.8)
2019-03-25 16:58:13-04 Aons-Air installd[7140]: Installed "Any File Opener" (1.7)
2019-03-26 12:31:05-04 Aons-Air system_installd[19092]: Installed "Gatekeeper Configuration Data" (164)
2019-03-26 12:41:51-04 Aons-Air system_installd[19092]: Installed "Safari" (12.1)
        "__installState" = Installed;

 

如果你有發現近期出現問題前後才生成的下述文件，請將其通過terminal終端運行進行移除。

根據用戶反饋的信息，初步懷疑跟下述路徑及其瀏覽的程序有關：

1，瀏覽和使用了惡意網站的下載，導致感染了MacPerformance及AnySearch類的自啓動劫持類惡意軟件：

~/Library/UpdateMac/MacPerformance
~/Library/LaunchAgents/com.MacPerformance.plist

~/Library/Application Support/GoToOpener


瀏覽器插件：

~/Library/Safari/Extensions/AnySearch.safariextz

2，感染了MacPerformance及AnySearch相關配置；

3，處理方法：

移除上述路徑下的配置文件，如果有。檢查是否還存在相關的其他配置文件，殺掉該進程，再重啓電腦。

 

實際上，上述文件已經對當前Mac系統的影響微乎其微，即使有誤刪，後期根據需要可以重新安裝，所以刪除不會影響系統的正常運行。

可疑文件全部移除完成後，最好重置瀏覽器，或者移除之前保存的狀態數據

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState
 

再啓動查看是否恢復正常。

 

如果覺得本文對你有幫助，那就贊一個或者評論一個吧！

 

--------------------- 
作者：做個有意思的人 
來源：CSDN 
版權聲明：本文爲博主原創文章，轉載請附上博文鏈接！
---------------------