MacOS: verwijder Wirelurker-malware
In deze praktische tip leggen we uit wat de malware Wirelurker doet en hoe u deze kunt verwijderen.
Wirelurker: Wat hij doet en waar hij vandaan komt
- De Wirelurker-malware arriveert op uw Mac via downloads van de Chinese downloadportal "Maiyadi App Store", vermoedelijk via de OS X-beveiligingsprobleem "Rootpipe".
- De site staat bekend om zijn brede scala aan illegale kopieën van populaire software en wordt vaak gebruikt.
- De malware is niet schadelijk voor uw Mac, behalve dat het een service start die op de achtergrond wordt uitgevoerd. Dit wacht op u om een iOS-apparaat op de Mac aan te sluiten.
- Hier registreert Wirelurker vervolgens het serienummer en telefoonnummer, iTunes-accountgegevens en andere persoonlijke gegevens van het iOS-apparaat. Deze worden naar een server verzonden. Als het iOS-apparaat jailbreakt en de afc2-service is ingeschakeld, wordt extra malware geïnstalleerd. De geschiedenis van iMessage, contacten uit het adresboek en andere gegevens worden dus afgetapt en naar een server verzonden.
Dit is waar de Wirelurker-malware vastloopt
De afzonderlijke componenten van de Wirelurker zijn verspreid over verschillende mappen op uw Mac. De volgende lijst toont de bestanden en mappen.
- Bestand: run.sh - Directory: / Gebruikers / Accountnaam / Openbaar
- Bestand: com.apple.machook_damon.plist - directory: / Library / LaunchDaemons
- Bestand: com.apple.globalupdate.plist - directory: / Library / LaunchDaemons
- Bestand: com.apple.watchproc.plist - Directory: / Bibliotheek / LaunchDaemons
- Bestand: com.apple.itunesupdate.plist - directory: / Library / LaunchDaemons
- Bestand: com.apple.appstore.plughelper.plist - directory: / Systeem / Bibliotheek / LaunchDaemons
- Bestand: com.apple.MailServiceAgentHelper.plist - directory: / Systeem / Bibliotheek / LaunchDaemons
- Bestand: com.apple.systemkeychain-helper.plist - directory: / Systeem / Bibliotheek / LaunchDaemons
- Bestand: com.apple.periodic-dd-mm-yy.plist - directory: / Systeem / Bibliotheek / LaunchDaemons
- Bestand: globalupdate / usr / local / machook / - directory: / usr / bin
- Bestand: WatchProc-directory: / usr / bin
- Bestand: itunesupdate - map: / usr / bin
- Bestand: com.apple.MailServiceAgentHelper - directory: / usr / bin
- Bestand: com.apple.appstore.PluginHelper - directory: / usr / bin
- Bestand: periodieke datum - map: / usr / bin
- Bestand: systemkeychain-helper - map: / usr / bin
- Bestand: stty5.11.pl - map: / usr / bin
Hoe zich te ontdoen van de Wirelurker-malware
Om de malware te verwijderen, volstaat het om de verschillende componenten uit de mappen te verwijderen. Aangezien deze echter in verschillende mappen worden gedistribueerd, is de zoekopdracht vrij complex. Een klein python-script doet het werk voor u.
- Download het WireLurkerDetector-script van GitHub. Start hiervoor de terminal op uw Mac en voer het commando "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py" in.
- Voer de opdracht "python WireLurkerDetectorOSX.py" in om het script uit te voeren. Dan zie je het resultaat van de detector.
- Vervolgens moet u alle iOS-apparaten die zijn aangesloten op de geïnfecteerde Mac opnieuw instellen.