Mac OSX 系统下常见malware感染的过程与分析

很久没来记录工作的点点滴滴了，趁这周有空，整理了下前期梳理的某些方面问题的处理和解决办法。

前段时间，很多用户反馈感染了malware，Adware，恶意插件之类的，苦于缺少环境，没有真实环境，缺少可靠信息等现实问题，这边根据用户提供的关键信息，模拟了下感染过程。 

本文topic是：e.tre456_worm_osx & AppleCareProtection Plan问题被感染的过程

1，用户浏览到不明来源的信息或者点击不明链接后，会出现如下情况：

（1）提示Adobe flash更新情况

如果稍微仔细点，可以看出根本就不是官方的链接，点击了后面很有可能被安装伪装插件，但用户却不知道

点击就会被下载不明软件

（2）伪装flash更新情况

下载安装，就中招了，其实安装过程也可以发现问题

后台还不停下载其他插件，用户看到的闪屏，Safari异常等出现

后台不停下载软件，被安装，

安装过程中，抓取到的一些异常下载

http://cdn.simplyeapps.com/screens/precheck/DmFybQ==

http://fpdownload.adobe.com/get/flashplayer/pdc/26.0.0.137/install_flash_player_osx.dmg

http://dl.simplyeapps.com/download/854d4bf9-2878-492a-985a-c585765befb9

http://cdn.simplyeapps.com/screens/complete/DmFybQ==

http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=26.0.0.137&lang=en&cpuWordLength=64&cpuArch=x86_64

http://install.mughthesec.com/lg

http://api.mughthesec.com/ai

http://install.mughthesec.com/lg

http://api.mughthesec.com/l

http://sr.symcd.com/MFYwVKADAgEAME0wSzBJMAkGBSsOAwIaBQAEFHQkFGcGn%2FXgmD9ePhproGUqVBV1BBQBWavn3ToLWaZkY9bPIAdX1ZHnagIQL5FAPdYYNkYWK73FAAN84A%3D%3D

http://ocsp.apple.com/ocsp-devid02/ME4wTKADAgEAMEUwQzBBMAkGBSsOAwIaBQAEFDOB0e%2FbaLCFIU0u76%2BMSmlkPCpsBBRXF%2B2iz9x8mKEQ4Py%2Bhy0s8uMXVAIIJ5xWXkLVr%2Bc%3D

http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=0.0.0.0&lang=en&cpuWordLength=64&cpuArch=x86_64

安装了booking，AdobeAAMDetect.plugin等应用。

暂时还不清楚上面的下载是干什么，有什么用处。反正最后，就是在一些你不清楚的文件目录给你安装了一些恶意劫持的软件、插件。

（3） 访问到不明页面，被恐吓，还冒充苹果的官网，实际上还是诱导用户卖软件！

一个假的扫描动作，然后告诉你感染很厉害，很严重。多执行几次，结果都不一样，可以看出是个假的。

实际上是某个不知廉耻的公司在卖软件！

其它避免方法：

1）安全中，关闭安装任意来源的软件，可以较好的避免应用后台随意安装；

2）授权时要看清楚；

3）不明链接的不点击，及时离开。