系统:Monterey 12.4 起因:下破解版的软件,因为急着用,根本没注意伪装成 pkg 安装包的 command 脚本,给了 root 权限,才意识到翻车了~
把 dmg 内容倒腾出来,是一长串 base64 附带一个 sh 脚本将其 decode 为二进制(Mach-O 64-bit executable x86_64),放到 /tmp 执行后删除,执行前还会贴心的给装 Rosetta 。
设法得到了它藏的二进制,上传 viruscan 基本实锤是 Adware/Bundlore ,有个问题想请教各位:如果 LaunchAgent 和 LaunchDaemon 下无可疑项目,并且用 CleanMyMac 全盘扫过一次了,进程列表里面也没有不对劲的东西,算是安全了吗?
二进制传到这里了 drive dot google dot com/file/d/10hV-UK4XJ7UlAd8SDI9eeHu1AaK0XIyK/view?usp=sharing 供会逆向的大佬研究研究
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.