macOS下malware移除实战之Qsearch浏览器劫持的移除

时间  2020-12-29 标签 malware Mac OS 劫持 浏览器 移除

声明:

由于网络中的病毒virus/malware等存在随时变异或者对应多种感染方式等情况,本文所针对的处理方法仅针对本次样本负责,个人如有误操作,后果自负。如需帮助,可以扫我头像加我微信!

前段时间收到反馈,某人感染了malware,浏览器被劫持,大致的表现情况截图如下:

从截图可以看出,显然是被一个名为Qsearch的恶意插件修改了主页,发生了主页修改劫持,向对方获取了一些基本的文件和浏览器信息,发给解决问题的脚本,现将这个问题的相关可疑文件和路径公布出来,以给有同样问题的读者参考。

其进程相关的信息:

PID	Status	Label
-	78	/Users/XXX/Library/UpdateMac/MacPerformance/MacPerformance

安装可疑记录:

2019-02-13 10:26:52-05 Aons-Air installd[585]: Installed "Adobe Acrobat DC (19.010.20091)" ()
2019-02-20 13:25:29-05 Aons-Air system_installd[2238]: Installed "Gatekeeper Configuration Data" (163)
2019-02-21 09:23:48-05 Aons-Air installd[571]: Installed "Adobe Acrobat DC (19.010.20098)" ()
2019-02-21 18:27:43-05 Aons-Air system_installd[12153]: Installed "MRTConfigData" (1.40)
2019-02-21 22:36:43-05 Aons-Air system_installd[13063]: Installed "Security Update 2019-001" (10.13.6)
Feb 22 03:45:31 Aons-Air OSInstaller[549]: Installed "Security Update 2019-001" (10.13.6)
        PostLogoutUpdatesInstalled =     {
                InstalledLater = 1;
2019-03-17 18:06:19-04 Aons-MacBook-Air installd[1057]: Installed "Slack" (3.3.8)
2019-03-25 16:58:13-04 Aons-Air installd[7140]: Installed "Any File Opener" (1.7)
2019-03-26 12:31:05-04 Aons-Air system_installd[19092]: Installed "Gatekeeper Configuration Data" (164)
2019-03-26 12:41:51-04 Aons-Air system_installd[19092]: Installed "Safari" (12.1)
        "__installState" = Installed;

 

如果你有发现近期出现问题前后才生成的下述文件,请将其通过terminal终端运行进行移除。

根据用户反馈的信息,初步怀疑跟下述路径及其浏览的程序有关:

1,浏览和使用了恶意网站的下载,导致感染了MacPerformance及AnySearch类的自启动劫持类恶意软件:

~/Library/UpdateMac/MacPerformance
~/Library/LaunchAgents/com.MacPerformance.plist

~/Library/Application Support/GoToOpener


浏览器插件:

~/Library/Safari/Extensions/AnySearch.safariextz

2,感染了MacPerformance及AnySearch相关配置;

3,处理方法:

移除上述路径下的配置文件,如果有。检查是否还存在相关的其他配置文件,杀掉该进程,再重启电脑。

 

实际上,上述文件已经对当前Mac系统的影响微乎其微,即使有误删,后期根据需要可以重新安装,所以删除不会影响系统的正常运行。

可疑文件全部移除完成后,最好重置浏览器,或者移除之前保存的状态数据

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState
 

再启动查看是否恢复正常。

 

如果觉得本文对你有帮助,那就赞一个或者评论一个吧!

联系我们 沪ICP备13005482号-10