Mac OS X: 再续〉安全警告,病毒就在你身边
1. 沉重
这次心情很沉重!因为这个间谍软件居然和咱们中国又有着联系!联想到前些日子的Goolge对中国说不做恶,指责中国如何如何的,这些就不重复了,结果是那些外国老大粗门都认为中国人会做病毒,会通过木马盗取他们的私人信息,还有专门的黑客学校,甚至认为病毒都是中国造的等等,而这些意味着什么吗?意味着在他们眼里中国人就是evil. 因为他们大多数都是粗人,脑子直,听风就是雨,而且粪青情节很重,对他们解释什么都没有用,他们一方面绝对信任自己的媒体,一方面要把自己平时不满的发泄找到出路。很不幸,中国人成为了他们又一个发泄对象。
这些就不多说了,回归本题,这里之所以说:和咱们中国又有着联系,也就是我不想妄加定论,虽然通过下面的技术分析的确是和杭州的一个服务器有关,但是我宁愿相信那是一个肉鸡,其实直接指向自己的服务器的做法,无疑是愚蠢的,自投罗网。如果真是肉鸡,那么大家真的要对电脑和网络安全增加重视,增强防范意识和措施,否则真成了被人卖了还替人数钱的傻瓜了。中国人都不傻,可能有的人被眼前的金钱诱惑,就把自己卖了。我说,下次把自己卖个好价钱,至少两辈子不用发愁吃穿住行,好不好?!
2. 技术
上面都是感慨,不愿听愿意看技术的请从这里开始:
首先说说如何比较彻底地移除这个间谍软件,执行下面的命令就可以了:
sudo launchctl unload -w /Library/LaunchDaemons/PremierOpinion.plist
sudo rm /private/tmp/poinstaller
sudo rm /private/tmp/script.sh
sudo rm -rf /private/tmp/installtmp
sudo rm -rf /private/tmp/autoupgrade
sudo rm -rf /private/tmp/tapinstaller
sudo rm -rf /Applications/PremierOpinion
sudo rm /private/var/db/.AccessibilityAPIEnabled
下面 说是如何查找来龙去脉的
下载MishInc FLV To MP3 converter是一个.jar文件,unpack安装后,有一个同意条款页就是那个Premier * Opinion的,一旦你同意,它会生成下面两个文件
/private/tmp
:
script.sh和一个可执行文件
poinstaller, 一旦你连接上网,它会下载两个目录
installtmp
and
tapinstaller,每个目录都保存有相同的内容
PremierOpinion
,
installtmp
里有一个不同文件大小的
poinstaller和
tapinstaller,包括
upgrade.xml文件,这个文件指向服务器
post.securestudies.com 的
rule14.xml 文件,而这个文件指向
PremierOpinion.zip 文件,这个就是最新的间谍软件的下载。
如果仔细查看poinstaller,它里面还包括这个网站it.kingroutecn.com,同样是rule14.xml文件,里面却指向另外一个网占
PermissionResearch。而无论
Permission Research 还是
Premier Opinion ,都在
ComScore 公司的地址范围内, 而且是同一个公司。这个可以通过whois来确认如下:
Registrant:
TMRG, INC.
11950 Democracy Dr.
Suite 600
Reston, VA 20190
US
Domain Name: SECURESTUDIES.COM
Administrative Contact, Technical Contact:
Administrator, Domain
TMRG, INC.
11950 Democracy Dr.
Suite 600
Reston, VA 20190
US
703-438-2000 fax: 512-727-3144
Record expires on 17-Aug-2010.
Record created on 17-Aug-2005.
Domain servers in listed order:
DNS01.IAD.COMSCORE.COM 66.119.41.13
DNS01.ORD.COMSCORE.COM 4.79.208.231
DNS02.IAD.COMSCORE.COM 66.119.41.25
DNS02.ORD.COMSCORE.COM 4.79.208.232
重点 在这里而it.kingroutecn.com网站的地址是
218.108.8.85(不要使用ping,而是dig或者Windows的nslookup)
, kingroutecn.com域名是通过美国的一个域名公司
bluehost.com 注册的,
反向查找 它指向hidden-master.hzman.net服务器,再查找地址可以找到下面信息,其中明确指出,地址公司联系人等等
,如果谁可以联系到这家公司,请他们注意安全。
218.108.8.85 is from China(CN) in region Southern and Eastern Asia
Whois query for 218.108.8.85...
Results returned from whois.arin.net:
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 218.0.0.0 - 218.255.255.255
CIDR: 218.0.0.0/8
NetName: APNIC4
NetHandle: NET-218-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: TINNIE.ARIN.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate: 2000-12-07
Updated: 2009-10-08
OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net
# ARIN WHOIS database, last updated 2010-06-03 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
Results returned from whois.apnic.net:
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.108.0.0 - 218.109.255.255
netname: WASU
descr: WASU TV & Communication Holding Co.,Ltd.
descr: 6/F, Jian Gong Building, NO.20 Wen San Road, Hangzhou,
descr: Zhejiang province, P.R.China 310012
country: CN
admin-c: XZ1291-AP
tech-c: TF142-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CNNIC-AP
mnt-routes: MAINT-CNNIC-AP
changed: hm-changed@apnic.net 20080123
source: APNIC
person: Xianlong Zeng
nic-hdl: XZ1291-AP
e-mail: allon@chinahcn.com
address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province
phone: +86-0571-28958852
fax-no: +86-0571-85214455
country: CN
changed: ipas@cnnic.cn 20071123
mnt-by: MAINT-CNNIC-AP
source: APNIC
person: Tao Feng
nic-hdl: TF142-AP
e-mail: fengtao@chinahcn.com
address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province
phone: +86-0571-28958888-8108
fax-no: +86-0571-85214455
country: CN
changed: ipas@cnnic.cn 20100513
mnt-by: MAINT-CNNIC-AP
source: APNIC
网络安全不是不丢孩子,搞不好会丢人。
Tony Liu, June 3, 2010深夜12:59am
原文链接: http://blog.csdn.net/afatgoat/article/details/5647573