域名預(yù)訂/競價，好“米”不錯過

最近一款名為“WireLurker”的專門攻擊蘋果設(shè)備的惡意軟件被曝光，該惡意軟件只針對中國蘋果用戶，近六個月以來已有約40萬人中招，這其中甚至還包括了未越獄的iOS用戶。雖然蘋果已屏蔽了這些惡意軟件。但仍有很多人對此非常關(guān)注，360手機(jī)安全專家已經(jīng)對“WireLurker”做了一份技術(shù)分析報告。原來傳說中的首個未越獄蘋果病毒就長這樣：

木馬特點(diǎn)：

l 已知的OS X平臺木馬族系中，傳播規(guī)模最大的

l 所有OS X平臺木馬族系中，第二個可以通過USB感染iOS平臺的

l 第一款通過二進(jìn)制替換方式自動生成的iOS惡意程序的木馬

l 第一款能像傳統(tǒng)木馬一樣感染已安裝的iOS程序的木馬

l 第一款通過企業(yè)授權(quán)在未越獄的iOS設(shè)備上安裝第三方應(yīng)用的木馬

據(jù)統(tǒng)計(jì)木馬以467款不同的軟件身份傳播，累計(jì)下載量達(dá)到356104次，感染數(shù)十萬用戶。

時間軸：

2014-04-30出現(xiàn)第一版，只向服務(wù)器發(fā)送信息，沒有其他行為

2014-05-07 出現(xiàn)第二版，向服務(wù)器發(fā)送信息，向越獄的iOS設(shè)備推送惡意應(yīng)用

2014-08 出現(xiàn)第三版，與服務(wù)器用加密協(xié)議進(jìn)行通信，并向所有iOS設(shè)備推送惡意應(yīng)用

Mac OS和iOS平臺上的木馬行為：

病毒的擴(kuò)散比較有特點(diǎn)，先感染Mac OS電腦，然后通過USB感染到iOS手機(jī)上，手機(jī)只要通過USB連接到電腦，手機(jī)就會被感染。這包括越獄手機(jī)和未越獄手機(jī)：

越獄手機(jī)上會被安裝惡意文件/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib

這個文件會讀取用戶的隱私并上傳服務(wù)器，包括用戶的通訊錄和短信

未越獄手機(jī)會被安裝通過企業(yè)版證書簽名的App：

把/usr/local/machook/ipa/下面的惡意ipa安裝到手機(jī)上

專家對越獄手機(jī)的惡意程序sfbase.dylib進(jìn)行了分析，可以發(fā)現(xiàn)：

惡意程序讀取了用戶的短信內(nèi)容和通訊錄中聯(lián)系人的內(nèi)容;

讀取用戶的iMessage數(shù)據(jù);

讀取廣告標(biāo)識符，這些都是用戶的隱私數(shù)據(jù);

然后將這些用戶的隱私信息上傳到一個叫www.comeinbaby.com的服務(wù)器;

木馬會將自身設(shè)置為隱藏屬性，這樣用戶就無法在Finder中看到木馬文件了(但在終端里依然可以看到的)

第一次運(yùn)行的木馬會釋放/Resources/start.sh和/Resources /FontMap1.cfg到/Users/Shared/下。獲取管理員權(quán)限，并在管理員權(quán)限下執(zhí)行/Users/Shared/start.sh

start.sh會解壓同一目錄下的FontMap1.cfg文件(實(shí)際是ZIP包)到/user/local/machook/下。并將解壓出來的"com.apple.machook_damon.plist"和"com.apple.globalupdate.plist"復(fù)制到/Library/LaunchDaemons/目錄下，同時將其注冊為系統(tǒng)啟動守護(hù)進(jìn)程。完成后啟動這兩個程序用于啟動控制命令。最后將解壓后的globalupdate文件釋放到/usr/bin/目錄下讓其成為一個全局命令。

同時木馬會上傳用戶信息作為打點(diǎn)記錄

木馬進(jìn)程一旦被啟動，就會作為要給后臺程序一直運(yùn)行，等待iOS設(shè)備的連入。而啟動后臺進(jìn)程主要通過以下方式：

1. 啟動任何被木馬二次打包過的程序，都會啟動木馬的后臺進(jìn)程

2. 木馬無論在初始化或是升級腳本都會創(chuàng)建并加載系統(tǒng)啟動守護(hù)進(jìn)程，確保木馬本身在重啟后依然生效

3. 某些木馬樣本還會在啟動命令時調(diào)用守護(hù)進(jìn)程

之前已經(jīng)說了，第三版的木馬會使用加密協(xié)議與服務(wù)器通信。主要使用了DES加密

傳輸?shù)募用軘?shù)據(jù)分為兩部分：

u 前10個字節(jié)為一串?dāng)?shù)字，將其逐個求和，得到的結(jié)果再遇”dksyel”拼接成一個字符串，這個字符串就是密鑰。

u 10字節(jié)以后的數(shù)據(jù)才是真正的傳輸內(nèi)容，先用base64算法解碼，結(jié)果再使用上面算出的密鑰進(jìn)行DES算法解密(模式采用的是ECB模式，填充模式使用的是PKCS5)

連入iOS設(shè)備后，木馬會包括電話號碼在內(nèi)的各種隱私信息發(fā)送到統(tǒng)計(jì)服務(wù)器上(comeinbaby.com)

木馬下載iOS安裝包，安裝到iOS設(shè)備中

之所以能夠?qū)pa包安裝到未越獄的iOS設(shè)備上，是因?yàn)槭褂昧颂O果授權(quán)的企業(yè)證書。蘋果官方允許企業(yè)申請企業(yè)證書，然后再企業(yè)內(nèi)部分發(fā)自己開發(fā)的應(yīng)用程序，此類程序不需要通過AppStore也可安裝，唯一的區(qū)別是在安裝的時候會提示用戶是否信任該證書并安裝程序(只有第一次會顯示，一旦確認(rèn)，以后便不會再有任何顯示)。雖然有提醒，但普通用戶的安全意識不高，還是會有很多人選擇信任最終導(dǎo)致被安裝了各種流氓推廣甚至是病毒程序。

那么問題來了，咋防范?

360手機(jī)衛(wèi)士建議：

1 、 盡量不要通過連接MAC電腦安裝非蘋果官方APP Store的第三方應(yīng)用。

2 、 出現(xiàn)未知應(yīng)用時，盡量不要打開。

3 、 如果不慎打開，不要賦予任何隱私權(quán)限，并盡快將其盡快卸載。

4 、 已越獄用戶盡快下載360手機(jī)衛(wèi)士專業(yè)版查殺。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！