macOS下malware移除實戰之搜索引擎bing劫持爲searchnewworld的移除

聲明：

由於網絡中的病毒virus/malware等存在隨時變異或者對應多種感染方式等情況，本文所針對的處理方法僅針對本次樣本負責，個人如有誤操作，後果自負。如需幫助，請在WeChat（微信）搜索“我在全球村”，關注後給我留言“加好友”。

Because the virus/malware in the network is mutated at any time or corresponds to multiple infection methods, the processing method targeted in this paper is only responsible for this sample. If the individual has misoperation, the consequences are at your own risk. If you need help, Please search for "Myglobalvillage" on WeChat (WeChat), leave a message "add friends" after following me.

前段時間收到反饋，某人感染了malware，瀏覽器被劫持，大致的表現情況是：使用Google搜索內容時，跳轉的頁面會閃一下後馬上跳轉到Bing搜索，很明顯搜索引擎發生了被修改劫持，向對方獲取了一些基本的文件和瀏覽器信息，發給解決問題的腳本，現將這個問題的相關可疑文件和路徑公佈出來，以給有同樣問題的讀者參考。

如果你有發現近期出現問題前後才生成的下述文件，請將其通過terminal終端運行進行移除。

根據用戶反饋提供的信息，收集如下：

 

初步懷疑跟下述路徑及其瀏覽的程序有關：

   1  "~/Library/LaunchAgents/com.techyutil.maftask.plist*"
   2   "~/Library/LaunchAgents/com.company.*"
   3   "/Library/LaunchAgents/com.adobe.*"
   4   "~/Library/LaunchDaemons/com.adobe.*"
   5   "/Library/LaunchDaemons/com.adobe.*"
   6   "/Library/Application\\ Support/Adobe"
   7   "~/Library/Application\\ Support/Adobe"
   8   "/Library/PrivilegedHelperTools/com.adobe.*"
   9   "/Library/Internet\\ Plug-Ins/Adobe*"
   10   "/Library/Internet\\ Plug-Ins/Flash*"
   11   "~/Library/Application\\ Support/Mac\\ File\\ Opener"
   12   "~/Library/Application\\ Support/Mac\\ Ads\\ Cleaner"
   13   "~/Library/Application\\ Support/Freshmac"
   14   "/Applications/Adobe*"
   15   "/Applications/Utilities/Adobe*"
   16   "/Library/Application\\ Support/Macromedia"
   17   "~/Library/Application\\ Support/adc"
   18   "~/Library/LaunchAgents/com.spotify.webhelper.plist"
   19   "~/Library/Application\\ Support/maf"
   20   "/Library/Application\\ Support/Adobe*"

1，瀏覽和使用了惡意網站的下載，導致感染了Mac File Opener及maftask類的自啓動瀏覽器劫持類惡意軟件：

 

通過在virus total上驗證上述文件，也發現了一些問題。

處理方法：

移除上述路徑下的配置文件，如果有。檢查是否還存在相關的其他配置文件，殺掉該進程，再重啓電腦。

 

實際上，上述文件對當前Mac系統的影響微乎其微，即使有誤刪，後期根據需要可以重新安裝，所以刪除不會影響系統的正常運行。

可疑文件全部移除完成後，最好重置瀏覽器，或者移除之前保存的狀態數據

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState

 

再啓動查看是否恢復正常。

如果覺得本文對你有幫助，那就贊一個或者評論一個吧！

 

--------------------- 
作者：做個有意思的人 
來源：CSDN 
版權聲明：本文爲博主原創文章，轉載請附上博文鏈接！
---------------------