macOS下malware移除实战之Qsearch浏览器劫持的移除

声明：

由于网络中的病毒virus/malware等存在随时变异或者对应多种感染方式等情况，本文所针对的处理方法仅针对本次样本负责，个人如有误操作，后果自负。如需帮助，请在WeChat（微信）搜索“我在全球村”，关注后给我留言“加好友”。

Because the virus/malware in the network is mutated at any time or corresponds to multiple infection methods, the processing method targeted in this paper is only responsible for this sample. If the individual has misoperation, the consequences are at your own risk. If you need help, Please search for "Myglobalvillage" on WeChat (WeChat), leave a message "add friends" after following me.

前段时间收到反馈，某人感染了malware，浏览器被劫持，大致的表现情况截图如下：

从截图可以看出，显然是被一个名为Qsearch的恶意插件修改了主页，发生了主页修改劫持，向对方获取了一些基本的文件和浏览器信息，发给解决问题的脚本，现将这个问题的相关可疑文件和路径公布出来，以给有同样问题的读者参考。

其进程相关的信息：

PID	Status	Label
-	78	/Users/XXX/Library/UpdateMac/MacPerformance/MacPerformance

安装可疑记录：

2019-02-13 10:26:52-05 Aons-Air installd[585]: Installed "Adobe Acrobat DC (19.010.20091)" ()
2019-02-20 13:25:29-05 Aons-Air system_installd[2238]: Installed "Gatekeeper Configuration Data" (163)
2019-02-21 09:23:48-05 Aons-Air installd[571]: Installed "Adobe Acrobat DC (19.010.20098)" ()
2019-02-21 18:27:43-05 Aons-Air system_installd[12153]: Installed "MRTConfigData" (1.40)
2019-02-21 22:36:43-05 Aons-Air system_installd[13063]: Installed "Security Update 2019-001" (10.13.6)
Feb 22 03:45:31 Aons-Air OSInstaller[549]: Installed "Security Update 2019-001" (10.13.6)
        PostLogoutUpdatesInstalled =     {
                InstalledLater = 1;
2019-03-17 18:06:19-04 Aons-MacBook-Air installd[1057]: Installed "Slack" (3.3.8)
2019-03-25 16:58:13-04 Aons-Air installd[7140]: Installed "Any File Opener" (1.7)
2019-03-26 12:31:05-04 Aons-Air system_installd[19092]: Installed "Gatekeeper Configuration Data" (164)
2019-03-26 12:41:51-04 Aons-Air system_installd[19092]: Installed "Safari" (12.1)
        "__installState" = Installed;

 

如果你有发现近期出现问题前后才生成的下述文件，请将其通过terminal终端运行进行移除。

根据用户反馈的信息，初步怀疑跟下述路径及其浏览的程序有关：

1，浏览和使用了恶意网站的下载，导致感染了MacPerformance及AnySearch类的自启动劫持类恶意软件：

~/Library/UpdateMac/MacPerformance
~/Library/LaunchAgents/com.MacPerformance.plist

~/Library/Application Support/GoToOpener


浏览器插件：

~/Library/Safari/Extensions/AnySearch.safariextz

2，感染了MacPerformance及AnySearch相关配置；

3，处理方法：

移除上述路径下的配置文件，如果有。检查是否还存在相关的其他配置文件，杀掉该进程，再重启电脑。

 

实际上，上述文件已经对当前Mac系统的影响微乎其微，即使有误删，后期根据需要可以重新安装，所以删除不会影响系统的正常运行。

可疑文件全部移除完成后，最好重置浏览器，或者移除之前保存的状态数据

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState
 

再启动查看是否恢复正常。

 

如果觉得本文对你有帮助，那就赞一个或者评论一个吧！

 

--------------------- 
作者：做个有意思的人 
来源：CSDN 
版权声明：本文为博主原创文章，转载请附上博文链接！
---------------------