V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
konakona
V2EX  ›  macOS

太惨了……OSX 中了 WireLurker,现在想自检 iPhone 6!

  •  
  •   konakona · 2014-11-10 01:43:44 +08:00 · 6742 次点击
    这是一个创建于 3667 天前的主题,其中的信息可能已经有所发展或是发生改变。
    IPHONE6才买一周多,没有同步应用,也没有使用数据线链MBP。
    但是在购买时,店主已用PP助手越狱,甚是担心,因为最近使用手机safari访问baidu.com竟然是先到7do..什么的,再跳转过去的!而且safari下访问网页多次出现加载失败!这问题很明显!(也有可能单纯是因为越狱,但google chrome下未出现)

    好不容易刚刚在OSX下手动删除了WireLurker变种(变得还不算太离谱),搞了3个小时..

    检查器不再报出我中了WireLurker了!打算买一个出口防火墙,以后支持正版!

    -----------我的病毒宿主是MAMP(mamp.info这款集成开发环境的免费版,官网下载) 10月18日下载 /Users/mac/Downloads/MAMP_MAMP_PRO_3.0.7.1.pkg (要知道laracasts.com的作者也是用这个呢 )
    想不到……真的想不到……

    现在想知道如何能检查iphone6是否中病毒呢?跪谢...

    太不安全了!
    36 条回复    2014-11-16 10:16:50 +08:00
    gtar
        1
    gtar  
       2014-11-10 01:50:46 +08:00
    我最近电脑也是百度先到7do什么的,会不会跟7do.net也有点关系?
    konakona
        2
    konakona  
    OP
       2014-11-10 01:56:27 +08:00
    @gtar safari那个地址栏那么多,而且跳得快,来不及记录。
    so898
        3
    so898  
       2014-11-10 02:01:07 +08:00   ❤️ 1
    连上xcode检查iPhone上安装的证书方可查看是否感染
    不过现在苹果已经在根服务器上把WireLurker的相关证书都给deactive了,所以不会存在什么问题了
    越狱的话需要检查是否存在sfbase.dylib文件
    Claud
        4
    Claud  
       2014-11-10 03:06:34 +08:00   ❤️ 4
    @konakona 你好,我是PANW的Claud Xiao。关于这个变种和iPhone的问题,能否直接和我联系?我们一起看看是怎么回事。
    我的邮箱是 [email protected] (可以在Github或者LinkedIn看到这个地址)。
    谢谢啦!
    hx1997
        5
    hx1997  
       2014-11-10 06:56:06 +08:00 via Android
    @Claud 这不是 WireLurker 最早发现者之一吗?V2EX 真是藏龙卧虎
    ReSur
        6
    ReSur  
       2014-11-10 07:48:29 +08:00 via Android
    比较在意那个官网下载的MAMP是怎么回事
    66beta
        7
    66beta  
       2014-11-10 09:35:43 +08:00
    MAMP官网都带?
    还好我用的XAMPP,楼主快来XAMPP的怀抱吧
    est
        8
    est  
       2014-11-10 09:37:17 +08:00
    @Claud 注册1年就这一个回复。。。
    typcn
        9
    typcn  
       2014-11-10 09:38:01 +08:00 via iPhone
    还好我是自己配的环境
    duoglas
        10
    duoglas  
       2014-11-10 10:10:55 +08:00
    @so898
    @Claud

    mac已经妥妥中标了
    ios也出现过中标迹象

    请问在mac清理完毕后, 如何清理ios呢?
    在线等....
    hitsmaxft
        11
    hitsmaxft  
       2014-11-10 10:13:18 +08:00
    补一句吧, 让别人越狱, 还是商家, 这也太不小心了.
    revival83
        12
    revival83  
       2014-11-10 10:24:48 +08:00
    不越狱也会中招吗
    c0878
        13
    c0878  
       2014-11-10 10:35:20 +08:00
    手机还原掉自己越狱吧
    tedd
        14
    tedd  
       2014-11-10 10:43:44 +08:00 via iPhone
    怎么检测mac有中呢?
    zhoulujue
        16
    zhoulujue  
       2014-11-10 10:57:17 +08:00
    @Claud 膜拜肖大神!
    yanke
        17
    yanke  
       2014-11-10 11:53:47 +08:00
    一段时间之前,某天手机突然多了一个企业分发的游戏。当时觉得不对劲。
    后来装10.10抹盘了,再也木有查出来过了。
    Showfom
        18
    Showfom  
       2014-11-10 11:57:48 +08:00
    我也中招 nnd
    DXpro
        19
    DXpro  
       2014-11-10 12:17:32 +08:00
    Your OS X system isn't infected by the WireLurker. Thank you!
    jiongjionger
        20
    jiongjionger  
       2014-11-10 13:12:15 +08:00
    怎么检测是否中招?我也是用的MAMP = =
    bullettrain1433
        21
    bullettrain1433  
       2014-11-10 15:01:40 +08:00
    @DXpro 请问用的什么检测
    jiongjionger
        23
    jiongjionger  
       2014-11-10 15:45:45 +08:00
    = =我也中招
    bullettrain1433
        24
    bullettrain1433  
       2014-11-10 16:51:22 +08:00
    @musicx Your OS X system isn't infected by the WireLurker. Thank you! 谢谢
    duoglas
        25
    duoglas  
       2014-11-10 17:03:36 +08:00
    @braineo 看完了文档, 并没有说中标的ios如何处理啊
    braineo
        26
    braineo  
       2014-11-10 17:21:12 +08:00   ❤️ 1
    @duoglas 有说啊,认真看看。越狱后的就把一个sfbase的文件删掉,未越狱的就去把不知名的profile删掉。越狱后的iOS因为可以会在app里植入木马,看看发行商对不对得上。未越狱的把企业部署的奇怪的APP删了就好了
    duoglas
        27
    duoglas  
       2014-11-10 17:30:00 +08:00
    @braineo 果然 刚才没看仔细 , 谢谢~!

    Remediation
    If WireLurker is found on any OS X computer, we recommend the deletion of
    respective files and removal of applications reported by the script. As of the
    publication date of this report, the iOS component of WireLurker is only spread
    through an infected Mac computer; accordingly, if WireLurker is found on a Mac, we
    recommend inspection of all iOS devices that have connected with that computer.
    A quick check for iOS devices includes determining whether any unauthorized
    enterprise provisioning profiles were created by navigating to “Settings -> General
    -> Profile”. If an anomalous profile is found, it should be removed and a subsequent
    check of all applications should be performed. Delete any strange applications found
    on the device. For jailbroken devices, we recommend that you check whether the file
    “/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib” exists. If so, you should
    delete it through a terminal connection, via an application like MobileTerminal or
    Secure Shell (SSH).
    gtar
        28
    gtar  
       2014-11-10 20:21:46 +08:00
    [+] Your OS X system isn't infected by the WireLurker. Thank you!


    https://github.com/PaloAltoNetworks-BD/WireLurkerDetector
    aaron2go
        29
    aaron2go  
       2014-11-10 21:10:08 +08:00
    以前我还专门去找这个麦客孤独的D版软件。。。。现在我基本全换成正版了。。太恐怖了
    zeroday
        30
    zeroday  
       2014-11-11 01:25:43 +08:00
    @duoglas 8.1系统设置中的通用中没发现“Profile”
    duoglas
        31
    duoglas  
       2014-11-11 09:47:35 +08:00
    @zeroday 那就说明ok了
    xieguobihaha
        32
    xieguobihaha  
       2014-11-11 19:23:07 +08:00 via iPhone
    中招已修复;-)
    zeroday
        33
    zeroday  
       2014-11-11 21:59:20 +08:00
    @duoglas 哦,明白了,thank you.
    dotpig
        34
    dotpig  
       2014-11-15 13:30:49 +08:00
    @zeroday 用 xcode 查看删除(或者 iPhone Configuration Utility 也可以)。如果没有越狱的话,删不删那个证书无所谓,因为已经被苹果屏蔽了。
    zeroday
        35
    zeroday  
       2014-11-15 23:14:37 +08:00
    @dotpig 试了一下您推荐的方法,请教一个问题,iPhone Configuration Utility签发de证书怎么不被信任的呢?

    dotpig
        36
    dotpig  
       2014-11-16 10:16:50 +08:00
    @zeroday 到 Keychain 里面,把 iPhone Configuration Utility 证书设为始终信任就可以了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   937 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 22:25 · PVG 06:25 · LAX 14:25 · JFK 17:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.