苹果已遮蔽 WireLurker 运行，但需要做的还很多

本帖最后由 - 于 14-11-7 22:07 编辑 苹果现在已经遮蔽了感染 WireLurker 恶意软件的 Mac 应用运行。WireLurker 恶意软件会通过 USB 线缆自动安装至 iOS 设备中。只要 iOS 设备连接至被感染的 Mac 电脑，即使 iOS 设备没有越狱也会被感染。已经有超过400个 Mac 应用暗藏了 WireLurker 恶意软件，主要在中国地区肆虐。苹果发言人建议用户从受信任的来源安装软件。 不过，安全研究专家 Jonathan Zdziarski 表示，对于其他攻击者来说，利用相同的弱点可以实现相似的攻击方式。在研究报告中，他提到 WireLurker 遮蔽很容易，不过使用相同方式的攻击方式却难以避免。真正的问题出现在 iOS 配对机制，这种方式很容易被感染。虽然 WireLurker 只是业余者的攻击方式，但 NSA 或其他组织都可以使用相似的方式完成更复杂、更有效的攻击。 当 iPhone 与一台 Mac 配对后，彼此成为了受信任的设备。Zdziarski 认为，苹果可以通过简单的3步降低危险。第一，需要提醒用户安装非签名应用的危险性。此前，用户将 iOS 设备连接至 Mac 电脑时只有 OK 提示。第二，苹果应该默认禁用企业模式。企业模式原本是允许公司轻松安装软件，这也使少部分用户面临危险。第三，Mac 应用在 iOS 设备上安装应用时应该请求权限，默认情况下只支持 iTunes 和 Xcode。 WireLurker 会挂马热门 iOS 软件, 附 Mac 清理方法 53•5611感谢 - 分享于 2014-11-07 15:02|只看该作者|倒序浏览|打印 Chrome 38.0.2125.101 Mac OS X 10.9.5 本帖最后由 - 于 14-11-7 16:16 编辑  昨天 MacX 先后报道, 中国大陆出现 Mac 恶意软件, 能感染未越狱的 iPhone, 苹果开始遮蔽攻击中国 iOS 和 Mac 用户的 WireLurker. 根据 Solidot 报道, 现在 WireLurker 的指令控制服务器已经被关闭, 苹果也撤销了 WireLurker 使用的企业证书, 据称这个企业证书是来自一家湖南浪雄广告装饰工程有限公司. 另外 Solidot 说, 恶意软件 WireLurker 是托管在华为和百度网盘上, 而报道中涉嫌此案的某芽地普遍使用这两个云服务. 被关闭的 WireLurker 指令控制服务器从 IP 地址看, 有一个位于香港.   最先报道 WireLurker 的研究机构 Palo Alto Networks 今天还发表博客称, WireLurker 还有 Windows 版, 来自下图中的百度网盘, 分析样本发现, 所有样本都是在 Windows XP 电脑上面编译的, 比 Mac OS X 版古老, 也是设计来感染未越狱的 iOS 系统的, 不过明显没有 Mac OS X 版成功, 也许是因为很多人会在 Windows 上面装杀毒软件的缘故?   Palo Alto Networks 已经推出了 WireLurker 的检查工具, 托管在开源代码平台 GitHub 上. GitHub 链接点此. Mac OS X 用户检查方法如下: 1, 打开终端 2, 输入以下命令, 下载脚本 curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py 复制代码 3, 运行脚本 python WireLurkerDetectorOSX.py 复制代码 4, 如果显示 Your OS X system isn't infected by the WireLurker. Thank you! 则表明你的 Mac 没有被感染, 恭喜! 如果找到相关文件, 就会列表出来, 用户可以一一删除. 更新 1: WireLurker 就是前一段时间, 果粉之间热烈讨论的恶意软件 Machook. 更新 2: threatpost.com 的报道说, WireLurker 会把 iOS 上面的美图秀秀, 淘宝, 支付宝, 等热门软件删除, 然后替换为自己打包, 添加了木马的版本. MacX 建议中招 WireLurker 的用户删除相关软件, 到 iTunes 商店里面重新下载, 并且修改淘宝和支付宝等服务的密码. MacX.cn 编译 中国大陆出现 Mac 恶意软件, 能感染未越狱的 iPhone 56•8386感谢 - 分享于 2014-11-06 08:51|只看该作者|倒序浏览|打印 Chrome 38.0.2125.101 Mac OS X 10.9.5 本帖最后由 - 于 14-11-6 10:12 编辑  纽约时报报道, 加州的一所研究机构 Palo Alto Networks 发表报告称, 在 Mac OS X 上出现了一种新的恶意软件 WireLurker, 过去六个月里感染了大批 Mac OS X 和 iOS 设备. 这个恶意软件针对中国大陆的用户, 并且研究报告表示 WireLurker 是目前为止最大规模的恶意软件, "开启了恶意软件攻击苹果桌面和移动平台的新纪元." WireLurker 是通过 USB, 从 Mac OS X 感染 iOS 的, 表现类似于传统的电脑病毒, 而且是第一个, 能在未越狱 iOS 设备上安装第三方软件的恶意软件. 其实现原理是 "企业部署" (enterprise provisioning). 目前为止, WireLurker 主要来源是: 某芽地 App Store, 这是中国大陆的一个第三方软件商店. 已经有 35.6 万次的软件下载量, 意味着有上万名用户被感染.   安全研究人员表示, WireLurker 会搜索通过 USB 连接到 Mac 的 iOS 设备, 然后下载恶意软件, 或者自动生成恶意软件, 并且将其安装到 iOS 设备上. 无论 iOS 设备是否越狱. 以前也有研究人员通过 "企业部署" 方式攻击设备, 不过这次的 WireLurker 有一些新技术, 复杂的编码结构, 多个组件版本, 隐藏文件, 编码模糊化, 自定义加密以阻止逆编译. 因此可以说是对 iOS 设备的全新威胁. 被安装到 iOS 设备上以后, WireLurker 会收集各种用户信息, 包括联络人和 iMessage, 并且能向黑客发送升级请求. 安全人员表示, WireLurker 无疑还在继续开发更新中, 其最终目标不明确.   安全人员已经向苹果通报 WireLurker, 不过苹果谢绝回应媒体采访. 安全人员建议用户使用苹果 Mac App Store 里的一款杀毒软件, 在 Mac OS X 上不要安装未知第三方软件, 不要下载和运行第三方 App Store, 网站等未知来源的软件, 游戏. iOS 设备用户如果可以, 不要越狱设备. 同时避免安装未知的企业部署证书, 不要和陌生, 不受信任的电脑配对设备, 或者用其充电.   MacX.cn 编译