太惨了……OSX 中了 WireLurker，现在想自检 iPhone 6!

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3644 天前的主题，其中的信息可能已经有所发展或是发生改变。

IPHONE6才买一周多，没有同步应用，也没有使用数据线链MBP。
但是在购买时，店主已用PP助手越狱，甚是担心，因为最近使用手机safari访问baidu.com竟然是先到7do..什么的，再跳转过去的！而且safari下访问网页多次出现加载失败！这问题很明显！（也有可能单纯是因为越狱，但google chrome下未出现）

好不容易刚刚在OSX下手动删除了WireLurker变种（变得还不算太离谱），搞了3个小时..

检查器不再报出我中了WireLurker了！打算买一个出口防火墙，以后支持正版！

-----------我的病毒宿主是MAMP（mamp.info这款集成开发环境的免费版，官网下载） 10月18日下载 /Users/mac/Downloads/MAMP_MAMP_PRO_3.0.7.1.pkg （要知道laracasts.com的作者也是用这个呢）
想不到……真的想不到……

现在想知道如何能检查iphone6是否中病毒呢？跪谢...

太不安全了！

wirelurker

OSX

Safari

36 条回复 • 2014-11-16 10:16:50 +08:00

gtar

2014-11-10 01:50:46 +08:00

我最近电脑也是百度先到7do什么的，会不会跟7do.net也有点关系？

konakona

2014-11-10 01:56:27 +08:00

@gtar safari那个地址栏那么多，而且跳得快，来不及记录。

so898

2014-11-10 02:01:07 +08:00

连上xcode检查iPhone上安装的证书方可查看是否感染
不过现在苹果已经在根服务器上把WireLurker的相关证书都给deactive了，所以不会存在什么问题了
越狱的话需要检查是否存在sfbase.dylib文件

Claud

2014-11-10 03:06:34 +08:00

@konakona 你好，我是PANW的Claud Xiao。关于这个变种和iPhone的问题，能否直接和我联系？我们一起看看是怎么回事。
我的邮箱是 [email protected] （可以在Github或者LinkedIn看到这个地址）。
谢谢啦！

hx1997

2014-11-10 06:56:06 +08:00 via Android

@Claud 这不是 WireLurker 最早发现者之一吗？V2EX 真是藏龙卧虎

ReSur

2014-11-10 07:48:29 +08:00 via Android

比较在意那个官网下载的MAMP是怎么回事

66beta

2014-11-10 09:35:43 +08:00

MAMP官网都带？
还好我用的XAMPP，楼主快来XAMPP的怀抱吧

est

2014-11-10 09:37:17 +08:00

@Claud 注册1年就这一个回复。。。

typcn

2014-11-10 09:38:01 +08:00 via iPhone

还好我是自己配的环境

duoglas

2014-11-10 10:10:55 +08:00

@so898
@Claud

mac已经妥妥中标了
ios也出现过中标迹象

请问在mac清理完毕后, 如何清理ios呢?
在线等....

hitsmaxft

2014-11-10 10:13:18 +08:00

补一句吧, 让别人越狱, 还是商家, 这也太不小心了.

revival83

2014-11-10 10:24:48 +08:00

不越狱也会中招吗

c0878

2014-11-10 10:35:20 +08:00

手机还原掉自己越狱吧

tedd

2014-11-10 10:43:44 +08:00 via iPhone

怎么检测mac有中呢？

braineo

2014-11-10 10:55:39 +08:00

https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf

这里面讲得很详细了

zhoulujue

2014-11-10 10:57:17 +08:00

@Claud 膜拜肖大神！

yanke

2014-11-10 11:53:47 +08:00

一段时间之前，某天手机突然多了一个企业分发的游戏。当时觉得不对劲。
后来装10.10抹盘了，再也木有查出来过了。

Showfom

2014-11-10 11:57:48 +08:00

我也中招 nnd

DXpro

2014-11-10 12:17:32 +08:00

Your OS X system isn't infected by the WireLurker. Thank you!

jiongjionger

2014-11-10 13:12:15 +08:00

怎么检测是否中招？我也是用的MAMP = =

bullettrain1433

2014-11-10 15:01:40 +08:00

@DXpro 请问用的什么检测

musicx

2014-11-10 15:12:54 +08:00

@bullettrain1433 https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

jiongjionger

2014-11-10 15:45:45 +08:00

= =我也中招

bullettrain1433

2014-11-10 16:51:22 +08:00

@musicx Your OS X system isn't infected by the WireLurker. Thank you! 谢谢

duoglas

2014-11-10 17:03:36 +08:00

@braineo 看完了文档, 并没有说中标的ios如何处理啊

braineo

2014-11-10 17:21:12 +08:00

@duoglas 有说啊，认真看看。越狱后的就把一个sfbase的文件删掉，未越狱的就去把不知名的profile删掉。越狱后的iOS因为可以会在app里植入木马，看看发行商对不对得上。未越狱的把企业部署的奇怪的APP删了就好了

duoglas

2014-11-10 17:30:00 +08:00

@braineo 果然刚才没看仔细 , 谢谢~!

Remediation
If WireLurker is found on any OS X computer, we recommend the deletion of
respective files and removal of applications reported by the script. As of the
publication date of this report, the iOS component of WireLurker is only spread
through an infected Mac computer; accordingly, if WireLurker is found on a Mac, we
recommend inspection of all iOS devices that have connected with that computer.
A quick check for iOS devices includes determining whether any unauthorized
enterprise provisioning profiles were created by navigating to “Settings -> General
-> Profile”. If an anomalous profile is found, it should be removed and a subsequent
check of all applications should be performed. Delete any strange applications found
on the device. For jailbroken devices, we recommend that you check whether the file
“/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib” exists. If so, you should
delete it through a terminal connection, via an application like MobileTerminal or
Secure Shell (SSH).

gtar

2014-11-10 20:21:46 +08:00

[+] Your OS X system isn't infected by the WireLurker. Thank you!

https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

aaron2go

2014-11-10 21:10:08 +08:00

以前我还专门去找这个麦客孤独的D版软件。。。。现在我基本全换成正版了。。太恐怖了

zeroday

2014-11-11 01:25:43 +08:00

@duoglas 8.1系统设置中的通用中没发现“Profile”

duoglas

2014-11-11 09:47:35 +08:00

@zeroday 那就说明ok了

xieguobihaha

2014-11-11 19:23:07 +08:00 via iPhone

中招已修复;-)

zeroday

2014-11-11 21:59:20 +08:00

@duoglas 哦，明白了，thank you.

dotpig

2014-11-15 13:30:49 +08:00

@zeroday 用 xcode 查看删除（或者 iPhone Configuration Utility 也可以）。如果没有越狱的话，删不删那个证书无所谓，因为已经被苹果屏蔽了。

zeroday

2014-11-15 23:14:37 +08:00

@dotpig 试了一下您推荐的方法，请教一个问题，iPhone Configuration Utility签发de证书怎么不被信任的呢？

dotpig

2014-11-16 10:16:50 +08:00

@zeroday 到 Keychain 里面，把 iPhone Configuration Utility 证书设为始终信任就可以了。