Mac OS X: 再续〉安全警告，病毒就在你身边

Mac OS X: 再续〉安全警告，病毒就在你身边

1. 沉重

      这次心情很沉重！因为这个间谍软件居然和咱们中国又有着联系！联想到前些日子的Goolge对中国说不做恶，指责中国如何如何的，这些就不重复了，结果是那些外国老大粗门都认为中国人会做病毒，会通过木马盗取他们的私人信息，还有专门的黑客学校，甚至认为病毒都是中国造的等等，而这些意味着什么吗？意味着在他们眼里中国人就是evil. 因为他们大多数都是粗人，脑子直，听风就是雨，而且粪青情节很重，对他们解释什么都没有用，他们一方面绝对信任自己的媒体，一方面要把自己平时不满的发泄找到出路。很不幸，中国人成为了他们又一个发泄对象。

 

      这些就不多说了，回归本题，这里之所以说：和咱们中国又有着联系，也就是我不想妄加定论，虽然通过下面的技术分析的确是和杭州的一个服务器有关，但是我宁愿相信那是一个肉鸡，其实直接指向自己的服务器的做法，无疑是愚蠢的，自投罗网。如果真是肉鸡，那么大家真的要对电脑和网络安全增加重视，增强防范意识和措施，否则真成了被人卖了还替人数钱的傻瓜了。中国人都不傻，可能有的人被眼前的金钱诱惑，就把自己卖了。我说，下次把自己卖个好价钱，至少两辈子不用发愁吃穿住行，好不好？！

 

2. 技术

      上面都是感慨，不愿听愿意看技术的请从这里开始：

      首先说说如何比较彻底地移除这个间谍软件，执行下面的命令就可以了：

sudo launchctl unload -w /Library/LaunchDaemons/PremierOpinion.plist
sudo rm /private/tmp/poinstaller
sudo rm /private/tmp/script.sh
sudo rm -rf /private/tmp/installtmp
sudo rm -rf /private/tmp/autoupgrade
sudo rm -rf /private/tmp/tapinstaller
sudo rm -rf /Applications/PremierOpinion
sudo rm /private/var/db/.AccessibilityAPIEnabled

      下面 说是如何查找来龙去脉的

      下载MishInc FLV To MP3 converter是一个.jar文件，unpack安装后，有一个同意条款页就是那个Premier * Opinion的，一旦你同意，它会生成下面两个文件 /private/tmp : script.sh和一个可执行文件 poinstaller, 一旦你连接上网，它会下载两个目录 installtmp and tapinstaller，每个目录都保存有相同的内容 PremierOpinion , installtmp 里有一个不同文件大小的 poinstaller和 tapinstaller，包括 upgrade.xml文件，这个文件指向服务器 post.securestudies.com 的 rule14.xml 文件，而这个文件指向 PremierOpinion.zip 文件，这个就是最新的间谍软件的下载。

 

 

 

      如果仔细查看poinstaller，它里面还包括这个网站it.kingroutecn.com，同样是rule14.xml文件，里面却指向另外一个网占 PermissionResearch。而无论 Permission Research 还是 Premier Opinion ，都在 ComScore 公司的地址范围内, 而且是同一个公司。这个可以通过whois来确认如下：

Registrant:
TMRG, INC.
   11950 Democracy Dr.
   Suite 600
   Reston, VA 20190
   US
   Domain Name: SECURESTUDIES.COM
   Administrative Contact, Technical Contact:
      Administrator, Domain                
      TMRG, INC.
      11950 Democracy Dr.
      Suite 600
      Reston, VA 20190
      US
      703-438-2000 fax: 512-727-3144
   Record expires on 17-Aug-2010.
   Record created on 17-Aug-2005.
   Domain servers in listed order:
   DNS01.IAD.COMSCORE.COM       66.119.41.13
   DNS01.ORD.COMSCORE.COM       4.79.208.231
   DNS02.IAD.COMSCORE.COM       66.119.41.25
   DNS02.ORD.COMSCORE.COM       4.79.208.232

 

      重点 在这里而it.kingroutecn.com网站的地址是 218.108.8.85(不要使用ping,而是dig或者Windows的nslookup) , kingroutecn.com域名是通过美国的一个域名公司 bluehost.com 注册的， 反向查找 它指向hidden-master.hzman.net服务器，再查找地址可以找到下面信息，其中明确指出，地址公司联系人等等 ，如果谁可以联系到这家公司，请他们注意安全。

 

218.108.8.85 is from China(CN) in region Southern and Eastern Asia
Whois query for 218.108.8.85...
Results returned from whois.arin.net:
OrgName:    Asia Pacific Network Information Centre 
OrgID:      APNIC
Address:    PO Box 2131
City:       Milton
StateProv:  QLD
PostalCode: 4064
Country:    AU
ReferralServer: whois://whois.apnic.net
NetRange:   218.0.0.0 - 218.255.255.255 
CIDR:       218.0.0.0/8 
NetName:    APNIC4
NetHandle:  NET-218-0-0-0-1
Parent:     
NetType:    Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: TINNIE.ARIN.NET
Comment:    This IP address range is not registered in the ARIN database.
Comment:    For details, refer to the APNIC Whois Database via
Comment:    WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:    ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:    for the Asia Pacific region. APNIC does not operate networks
Comment:    using this IP address range and is not able to investigate
Comment:    spam or abuse reports relating to these addresses. For more
Comment:    help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:    2000-12-07
Updated:    2009-10-08
OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact 
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
# ARIN WHOIS database, last updated 2010-06-03 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
Results returned from whois.apnic.net:
% [whois.apnic.net node-2]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
inetnum:      218.108.0.0 - 218.109.255.255
netname:      WASU
descr:        WASU TV & Communication Holding Co.,Ltd.
descr:        6/F, Jian Gong Building, NO.20 Wen San Road, Hangzhou,
descr:        Zhejiang province, P.R.China 310012
country:      CN
admin-c:      XZ1291-AP
tech-c:       TF142-AP
status:       ALLOCATED PORTABLE
mnt-by:       MAINT-CNNIC-AP
mnt-lower:    MAINT-CNNIC-AP
mnt-routes:   MAINT-CNNIC-AP
changed:      hm-changed@apnic.net 20080123
source:       APNIC
person:       Xianlong Zeng
nic-hdl:      XZ1291-AP
e-mail:       allon@chinahcn.com
address:      No.9 ShuGuang Road,HangZhou City,ZheJiang Province
phone:        +86-0571-28958852
fax-no:       +86-0571-85214455
country:      CN
changed:      ipas@cnnic.cn 20071123
mnt-by:       MAINT-CNNIC-AP
source:       APNIC
person:         Tao Feng
nic-hdl:        TF142-AP
e-mail:         fengtao@chinahcn.com
address:        No.9 ShuGuang Road,HangZhou City,ZheJiang Province
phone:          +86-0571-28958888-8108
fax-no:         +86-0571-85214455
country:        CN
changed:        ipas@cnnic.cn 20100513
mnt-by:         MAINT-CNNIC-AP
source:         APNIC

 

 

网络安全不是不丢孩子，搞不好会丢人。

 

---

Tony Liu, June 3, 2010深夜12:59am

 

原文链接： http://blog.csdn.net/afatgoat/article/details/5647573

转载于:https://my.oschina.net/junwong/blog/46565