昨晚,接到一认识的网友的求助,部分程序闪退,且经常莫名其妙地安装自己从没购买过的程序,正好一个人在家于是开启了远程协助。
开始清理缓存,垃圾,检查MS加载项,还是有闪退的现象,然后安全模式下也一样,我就觉得奇怪,然后开始检查标准的系统启动加载项,突然在 /System/Library/LaunchDaemons 里面发现了一个很奇怪的加载文件:com.archive.plist ;根据经验,这个但是是和压缩文件有关系的,但是实际上压缩命令文件不可能会有启动加载的,所以立刻打开这个文件检查:
<key>Label</key>
<string>com.archive</string>
<key>Nice</key>
<integer>20</integer>
<key>ProgramArguments</key>
<array>
<string>/bin/updatesrv</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>StartInterval</key>
<integer>7200</integer>
通过内容可以看到这个在启动后间隔7200秒钟开始调用的 /bin 目录下的 updatesrv 程序,立马提取这个主程序发 威锋技术组 检查!
经过iOSHack的逆向反编译,查到了这个程序会访问域名为:www.jb-app.com 的地址,会自动下载,切换到目录,赋予下载的文件可执行权限,运行,删除下载的文件,典型的恶意黑客程序表现!果不其然有很大的猫腻!!!
接下来因为已经半夜转钟4点了,正好在美国的Jackie099上来了,他那边时差反的,于是域名追踪的任务就交给了他!
通过域名查询,找到了这个信息:
我尻!WHOIS 信息居然是用苹果信息注册的,明眼人一看就明白,苹果会申请和越狱有关的东西吗!呵呵!
然后 ping “www.jb-app.com”的域名,会解析到IP为:223.6.250.229 的地址!
然后查询这个IP的信息发现:
luokaixin.com 被这个ip host过。
那就去查下luokaixin.com 的WHOIS
这里查到了登记的一个GMAIL邮箱,继续查询和这个邮箱相关的信息,还找到了相关的2个域名:
再看这个邮箱的搜索结果,随便就查到了和iOS推广相关的信息:
比如:
里面就有这个邮箱,然后对应的联系QQ号码:61183529
呵呵!通过这个QQ号码,貌似最后找到了点什么!
整个调查暂时就到这,我只想说一句,不要随意乱装东西(我从来就对和数字相关公司的东西不感冒)!
如果你确定你的账号在肯定没有其他人使用的情况下自动购买了从没有主动购买过的程序(哪怕是免费的),就要好好检查你的机器是否账号被盗,从今晚的恶意程序可以看到国内的乱像,疯狂盗取用户信息牟利,当用户的ID账号被盗取后,背后有着极大的利益;首先可以接软件推广的活,利用盗取的账号购买应用来提升排名;也不排除收集数据后贩卖给收脏集团查询ID锁对应密码,所以建议手机丢失或被盗后,最好修改iCloud密码!
以上追踪过程完全是根据流程和表现判断,如有问题请指正,不存在什么抹黑谁,完全是从技术和道德方面求证,请勿乱上纲上线!
恶意程序在iOS文件系统里的衍生文件列表是:
/System/Library/LaunchDaemons/com.archive.plist
/bin/updatesrv
/tmp/updatesrv.log
/etc/uuid
/tmp/u1
/tmp/u2
/private/etc/avs.txt
/Library/MobileSubstrate/DynamicLibraries/aid.dylib
/usr/bin/gzip
按照以上文件清单自查,如果有存在的文件,及时删除即可安全地清理!
还有,搜索的内容涉及到对方职员的个人的隐私,请勿人肉个人!
威锋技术组:CDSQ判断发现;iOSHack逆向;xiaoxi13,Jackie099网站追踪
另外:因为涉及到很多信息加密的问题,所以前期网友们对威锋技术组捐赠的款项派上了用途,使用了付费信息查询,取之于网友,用之于网友!
如果你们还希望支持威锋技术组的工作,愿意捐赠的可以使用手机客户端扫描下面的二维码进行捐赠:
追踪过程屏幕录像源文件下载:百度云下载
优酷在线播放地址:点我跳转
恶意插件样本下载地址:百度云下载
LOFTER:CDSQ http://weicdsq.lofter.com/post/20a5c5_13cc45e