【转】【MAC用户注意!】对Machook木马的一次社工之旅,来看看你的MAC是否中招!

发表于: 2014-11-04 19:18:35
来自 威锋网页版
2.3w
66
只看楼主
本帖最后由 cprii 于 2014-11-4 19:33 编辑

0X00 前因

大家好,我是一名普通的程序员,通过google检索cominbaby  发现很多人都中招了Machook木马,V2EX上也有同学感染吧。

先说说我们公司的情况吧, 我们几个同事在**下载了paragon ntfs,之后安装就发现需要管理员权限,当时估计他们也没太在意。

后来过了一会,听他们说AVAST不知道为什么提醒电脑尝试去访问comeinbaby.com这个网站。 我就觉得肯定有问题,就让他们点了拦截。

然后查看了一下,

竟然发现把我同事的手机号,appid,udid,序列号全部上传到了 comeinbaby.xxx/app/app.php !!!
我靠,我只想问,你这么屌你爸妈知道吗?
(后面的时候去他的App群里hack了一下作者,他害怕了,截至发稿前,那个SB已经把 comeinbaby.xxx/app/ comeinbaby.xxx/mac/ 两个目录删除了,而且Qzone也关闭了。这是后话了。 )


证据如下(逆向代码):
http://ww2.sinaimg.cn/large/6a84be4bgw1elyqie6kjdj21ao0lrqep.jpg
一看这小子如此猖狂,果断射之!

http://ww2.sinaimg.cn/large/6a84be4bgw1elysm38xznj20c8ayae81.jpg



全部回复(66)
只看楼主
正序查看 倒序查看
cprii
楼主
沙发
本帖最后由 cprii 于 2014-11-4 19:20 编辑

loading...


=========================================================
不知道为什么上次不了图片内容,可能太长了,大家点以上的放大看就行!
2014-11-04 19:18
来自 威锋网页版
北斗酱
板凳
求上传里面那个.sh文件
2014-11-04 19:20
来自 威锋网页版
cprii
楼主
地板

执行 cd /usr/local/machook 如果存在目录 就中招了 其他自行google

继续连载,哈哈 我们是社工小分队。

0X02 总结

天网恢恢,疏而不漏。连我这样的小学生也能把你干翻,那**叔叔想查你们这些类人更是分分秒秒的事情吧?

既然你这么喜欢收集别人的隐私,而且你不介意我把你的隐私发到网上,那我只好这样了。

还在微博上说我是骗子? 呵呵~

最后,愿你早日洗手。
2014-11-04 19:21
来自 威锋网页版
cprii
楼主
4 楼

最后提醒大家,请谨慎下载第三方的dmg ,尤其注意 macx 和 **。

如果实在想用盗版(好脸红), 那就请下载正版 在去找对应的授权码。

Mac最好安装一个AVAST或者 防火墙。 遇到有要求管理员请求的一定要仔细查看,了解。

附上木马清除脚本:

2014-11-04 19:22
来自 威锋网页版
cprii
楼主
5 楼
看到被感染用户的吐槽列表里面有weiphone就转过来了,大家最好去看下自己的电脑有没中招。
2014-11-04 19:25
来自 威锋网页版
cprii
楼主
6 楼

求上传里面那个.sh文件

已发了,看下载地址。
2014-11-04 19:35
来自 威锋网页版
徐畅xc
7 楼
sh文件怎么用
2014-11-04 19:39
来自 威锋网页版
苍之薙
8 楼
吓尿了。。。LZ我没惹你。。放过我。。
2014-11-04 19:42
来自 威锋网页版
cprii
楼主
9 楼

吓尿了。。。LZ我没惹你。。放过我。。

我只是搬运工
2014-11-04 19:43
来自 威锋网页版
苍之薙
10 楼

我只是搬运工

骇客们太吊了卧槽。。。。我完全看不懂过程,反正就知道那沙比彻底被曝光了。。。
2014-11-04 19:46
来自 威锋网页版
首页 1234567 尾页 / 7 页