很久没来记录工作的点点滴滴了,趁这周有空,整理了下前期梳理的某些方面问题的处理和解决办法。
前段时间,很多用户反馈感染了malware,Adware,恶意插件之类的,苦于缺少环境,没有真实环境,缺少可靠信息等现实问题,这边根据用户提供的关键信息,模拟了下感染过程。
本文topic是:e.tre456_worm_osx & AppleCareProtection Plan问题被感染的过程
1,用户浏览到不明来源的信息或者点击不明链接后,会出现如下情况:
(1)提示Adobe flash更新情况
如果稍微仔细点,可以看出根本就不是官方的链接,点击了后面很有可能被安装伪装插件,但用户却不知道
点击就会被下载不明软件
(2)伪装flash更新情况
下载安装,就中招了,其实安装过程也可以发现问题
后台还不停下载其他插件,用户看到的闪屏,Safari异常等出现
后台不停下载软件,被安装,
安装过程中,抓取到的一些异常下载
http://cdn.simplyeapps.com/screens/precheck/DmFybQ==
http://fpdownload.adobe.com/get/flashplayer/pdc/26.0.0.137/install_flash_player_osx.dmg
http://dl.simplyeapps.com/download/854d4bf9-2878-492a-985a-c585765befb9
http://cdn.simplyeapps.com/screens/complete/DmFybQ==
http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=26.0.0.137&lang=en&cpuWordLength=64&cpuArch=x86_64
http://install.mughthesec.com/lg
http://api.mughthesec.com/ai
http://install.mughthesec.com/lg
http://api.mughthesec.com/l
http://sr.symcd.com/MFYwVKADAgEAME0wSzBJMAkGBSsOAwIaBQAEFHQkFGcGn%2FXgmD9ePhproGUqVBV1BBQBWavn3ToLWaZkY9bPIAdX1ZHnagIQL5FAPdYYNkYWK73FAAN84A%3D%3D
http://ocsp.apple.com/ocsp-devid02/ME4wTKADAgEAMEUwQzBBMAkGBSsOAwIaBQAEFDOB0e%2FbaLCFIU0u76%2BMSmlkPCpsBBRXF%2B2iz9x8mKEQ4Py%2Bhy0s8uMXVAIIJ5xWXkLVr%2Bc%3D
http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=0.0.0.0&lang=en&cpuWordLength=64&cpuArch=x86_64
安装了booking,AdobeAAMDetect.plugin等应用。
暂时还不清楚上面的下载是干什么,有什么用处。反正最后,就是在一些你不清楚的文件目录给你安装了一些恶意劫持的软件、插件。
(3) 访问到不明页面,被恐吓,还冒充苹果的官网,实际上还是诱导用户卖软件!
一个假的扫描动作,然后告诉你感染很厉害,很严重。多执行几次,结果都不一样,可以看出是个假的。
实际上是某个不知廉耻的公司在卖软件!
其它避免方法:
1)安全中,关闭安装任意来源的软件,可以较好的避免应用后台随意安装;
2)授权时要看清楚;
3)不明链接的不点击,及时离开。