MacOS: eliminar el malware Wirelurker
En este consejo práctico, explicamos qué hace el malware Wirelurker y cómo puede eliminarlo.
Wirelurker: lo que hace y de dónde viene
- El malware Wirelurker llega a su Mac a través de descargas del portal de descargas chino "Maiyadi App Store", presumiblemente a través de la vulnerabilidad de seguridad de OS X "Rootpipe".
- El sitio es conocido por su amplia gama de copias pirateadas de software popular y se usa con frecuencia.
- El malware no hace daño a su Mac, excepto que inicia un servicio que se ejecuta en segundo plano. Esto solo está esperando que conectes un dispositivo iOS a la Mac.
- Aquí, Wirelurker luego registra el número de serie y teléfono, los datos de la cuenta de iTunes y otros detalles personales del dispositivo iOS. Estos se envían a un servidor. Si el dispositivo iOS tiene jailbreak y el servicio afc2 está activado, se instalará malware adicional. El historial de iMessage, los contactos de la libreta de direcciones y otros datos se aprovechan y se envían a un servidor.
Aquí es donde el malware Wirelurker se atasca
Los componentes individuales de Wirelurker están distribuidos en varios directorios en tu Mac. La siguiente lista muestra los archivos y directorios.
- Archivo: run.sh - Directorio: / Usuarios / Nombre de cuenta / Público
- Archivo: com.apple.machook_damon.plist - directorio: / Library / LaunchDaemons
- Archivo: com.apple.globalupdate.plist - directorio: / Library / LaunchDaemons
- Archivo: com.apple.watchproc.plist - Directorio: / Library / LaunchDaemons
- Archivo: com.apple.itunesupdate.plist - directorio: / Library / LaunchDaemons
- Archivo: com.apple.appstore.plughelper.plist - directorio: / System / Library / LaunchDaemons
- Archivo: com.apple.MailServiceAgentHelper.plist - directorio: / System / Library / LaunchDaemons
- Archivo: com.apple.systemkeychain-helper.plist - directorio: / System / Library / LaunchDaemons
- Archivo: com.apple.periodic-dd-mm-aa.plist - directorio: / System / Library / LaunchDaemons
- Archivo: globalupdate / usr / local / machook / - directorio: / usr / bin
- Archivo: directorio WatchProc: / usr / bin
- Archivo: itunesupdate - directorio: / usr / bin
- Archivo: com.apple.MailServiceAgentHelper - directorio: / usr / bin
- Archivo: com.apple.appstore.PluginHelper - directorio: / usr / bin
- Archivo: periodicdate - directorio: / usr / bin
- Archivo: systemkeychain-helper - directorio: / usr / bin
- Archivo: stty5.11.pl - directorio: / usr / bin
Cómo deshacerse del malware Wirelurker
Para eliminar el malware, es suficiente eliminar los diversos componentes de los directorios. Sin embargo, dado que estos se distribuyen en diferentes directorios, la búsqueda es bastante compleja. Un pequeño script de Python hace el trabajo por usted.
- Descargue el script WireLurkerDetector de GitHub. Para hacer esto, inicie el terminal en su Mac e ingrese el comando "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py".
- Ingrese el comando "python WireLurkerDetectorOSX.py" para ejecutar el script. Entonces ves el resultado del detector.
- Luego debe restablecer todos los dispositivos iOS conectados a la Mac infectada.