macOS下malware移除实战之搜索引擎bing劫持为searchnewworld的移除

声明：

由于网络中的病毒virus/malware等存在随时变异或者对应多种感染方式等情况，本文所针对的处理方法仅针对本次样本负责，个人如有误操作，后果自负。如需帮助，请在WeChat（微信）搜索“我在全球村”，关注后给我留言“加好友”。

Because the virus/malware in the network is mutated at any time or corresponds to multiple infection methods, the processing method targeted in this paper is only responsible for this sample. If the individual has misoperation, the consequences are at your own risk. If you need help, Please search for "Myglobalvillage" on WeChat (WeChat), leave a message "add friends" after following me.

前段时间收到反馈，某人感染了malware，浏览器被劫持，大致的表现情况是：使用Google搜索内容时，跳转的页面会闪一下后马上跳转到Bing搜索，很明显搜索引擎发生了被修改劫持，向对方获取了一些基本的文件和浏览器信息，发给解决问题的脚本，现将这个问题的相关可疑文件和路径公布出来，以给有同样问题的读者参考。

如果你有发现近期出现问题前后才生成的下述文件，请将其通过terminal终端运行进行移除。

根据用户反馈提供的信息，收集如下：

 

初步怀疑跟下述路径及其浏览的程序有关：

   1  "~/Library/LaunchAgents/com.techyutil.maftask.plist*"
   2   "~/Library/LaunchAgents/com.company.*"
   3   "/Library/LaunchAgents/com.adobe.*"
   4   "~/Library/LaunchDaemons/com.adobe.*"
   5   "/Library/LaunchDaemons/com.adobe.*"
   6   "/Library/Application\\ Support/Adobe"
   7   "~/Library/Application\\ Support/Adobe"
   8   "/Library/PrivilegedHelperTools/com.adobe.*"
   9   "/Library/Internet\\ Plug-Ins/Adobe*"
   10   "/Library/Internet\\ Plug-Ins/Flash*"
   11   "~/Library/Application\\ Support/Mac\\ File\\ Opener"
   12   "~/Library/Application\\ Support/Mac\\ Ads\\ Cleaner"
   13   "~/Library/Application\\ Support/Freshmac"
   14   "/Applications/Adobe*"
   15   "/Applications/Utilities/Adobe*"
   16   "/Library/Application\\ Support/Macromedia"
   17   "~/Library/Application\\ Support/adc"
   18   "~/Library/LaunchAgents/com.spotify.webhelper.plist"
   19   "~/Library/Application\\ Support/maf"
   20   "/Library/Application\\ Support/Adobe*"

1，浏览和使用了恶意网站的下载，导致感染了Mac File Opener及maftask类的自启动浏览器劫持类恶意软件：

 

通过在virus total上验证上述文件，也发现了一些问题。

处理方法：

移除上述路径下的配置文件，如果有。检查是否还存在相关的其他配置文件，杀掉该进程，再重启电脑。

 

实际上，上述文件对当前Mac系统的影响微乎其微，即使有误删，后期根据需要可以重新安装，所以删除不会影响系统的正常运行。

可疑文件全部移除完成后，最好重置浏览器，或者移除之前保存的状态数据

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState

 

再启动查看是否恢复正常。

如果觉得本文对你有帮助，那就赞一个或者评论一个吧！

 

--------------------- 
作者：做个有意思的人 
来源：CSDN 
版权声明：本文为博主原创文章，转载请附上博文链接！
---------------------