MacOS : Wirelurker 맬웨어 제거

이 실용적인 팁에서는 Wirelurker 맬웨어의 기능과 제거 방법을 설명합니다.

Wirelurker : 그가 무엇을하고 어디에서 왔는지

Wirelurker 맬웨어는 중국어 다운로드 포털 "Maiyadi App Store", 아마도 OS X 보안 취약점 "Rootpipe"를 통한 다운로드를 통해 Mac에 도착합니다.
이 사이트는 널리 사용되는 광범위한 소프트웨어 불법 복제본으로 잘 알려져 있으며 종종 사용됩니다.
맬웨어는 백그라운드에서 실행되는 서비스를 시작한다는 점을 제외하면 Mac에 해를 끼치 지 않습니다. iOS 기기를 Mac에 연결하기를 기다리는 중입니다.
여기서 Wirelurker는 일련 번호 및 전화 번호, iTunes 계정 데이터 및 기타 iOS 장치의 개인 정보를 기록합니다. 이들은 서버로 전송됩니다. iOS 장치가 탈옥되고 afc2 서비스가 켜져 있으면 추가 맬웨어가 설치됩니다. iMessage 히스토리, 주소록의 연락처 및 기타 데이터는 탭핑되어 서버로 전송됩니다.

Wirelurker의 개별 구성 요소는 Mac의 여러 디렉토리에 분산되어 있습니다. 다음 목록은 파일과 디렉토리를 보여줍니다.

파일 : run.sh-디렉토리 : / Users / Account Name / Public
파일 : com.apple.machook_damon.plist-디렉토리 : / Library / LaunchDaemons
파일 : com.apple.globalupdate.plist-디렉토리 : / Library / LaunchDaemons
파일 : com.apple.watchproc.plist-디렉토리 : / Library / LaunchDaemons
파일 : com.apple.itunesupdate.plist-디렉토리 : / Library / LaunchDaemons
파일 : com.apple.appstore.plughelper.plist-디렉토리 : / System / Library / LaunchDaemons
파일 : com.apple.MailServiceAgentHelper.plist-디렉토리 : / System / Library / LaunchDaemons
파일 : com.apple.systemkeychain-helper.plist-디렉토리 : / System / Library / LaunchDaemons
파일 : com.apple.periodic-dd-mm-yy.plist-디렉토리 : / 시스템 / 라이브러리 / LaunchDaemons
파일 : globalupdate / usr / local / machook /-디렉토리 : / usr / bin
파일 : WatchProc 디렉토리 : / usr / bin
파일 : itunesupdate-디렉토리 : / usr / bin
파일 : com.apple.MailServiceAgentHelper-디렉토리 : / usr / bin
파일 : com.apple.appstore.PluginHelper-디렉토리 : / usr / bin
파일 : periodicdate-디렉토리 : / usr / bin
파일 : systemkeychain-helper-디렉토리 : / usr / bin
파일 : stty5.11.pl-디렉토리 : / usr / bin

맬웨어를 제거하려면 디렉토리에서 다양한 구성 요소를 삭제하는 것으로 충분합니다. 그러나 이들은 서로 다른 디렉토리에 분산되어 있기 때문에 검색이 매우 복잡합니다. 작은 파이썬 스크립트가 당신을 위해 일합니다.

GitHub에서 WireLurkerDetector 스크립트를 다운로드하십시오. 이렇게하려면 Mac에서 터미널을 시작하고 "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py"명령을 입력하십시오.
"python WireLurkerDetectorOSX.py"명령을 입력하여 스크립트를 실행하십시오. 그러면 탐지기의 결과가 나타납니다.
그런 다음 감염된 Mac에 연결된 모든 iOS 장비를 재설정해야합니다.