Mac OS X: 再续〉安全警告,病毒就在你身边
Mac OS X: 再续〉安全警告,病毒就在你身边
1. 沉重
这次心情很沉重!因为这个间谍软件居然和咱们中国又有着联系!联想到前些日子的Goolge对中国说不做恶,指责中国如何如何的,这些就不重复了,结果是那些外国老大粗门都认为中国人会做病毒,会通过木马盗取他们的私人信息,还有专门的黑客学校,甚至认为病毒都是中国造的等等,而这些意味着什么吗?意味着在他们眼里中国人就是evil. 因为他们大多数都是粗人,脑子直,听风就是雨,而且粪青情节很重,对他们解释什么都没有用,他们一方面绝对信任自己的媒体,一方面要把自己平时不满的发泄找到出路。很不幸,中国人成为了他们又一个发泄对象。
这些就不多说了,回归本题,这里之所以说:和咱们中国又有着联系,也就是我不想妄加定论,虽然通过下面的技术分析的确是和杭州的一个服务器有关,但是我宁愿相信那是一个肉鸡,其实直接指向自己的服务器的做法,无疑是愚蠢的,自投罗网。如果真是肉鸡,那么大家真的要对电脑和网络安全增加重视,增强防范意识和措施,否则真成了被人卖了还替人数钱的傻瓜了。中国人都不傻,可能有的人被眼前的金钱诱惑,就把自己卖了。我说,下次把自己卖个好价钱,至少两辈子不用发愁吃穿住行,好不好?!
2. 技术
上面都是感慨,不愿听愿意看技术的请从这里开始:
首先说说如何比较彻底地移除这个间谍软件,执行下面的命令就可以了:
sudo launchctl unload -w /Library/LaunchDaemons/PremierOpinion.plist sudo rm /private/tmp/poinstaller sudo rm /private/tmp/script.sh sudo rm -rf /private/tmp/installtmp sudo rm -rf /private/tmp/autoupgrade sudo rm -rf /private/tmp/tapinstaller sudo rm -rf /Applications/PremierOpinion sudo rm /private/var/db/.AccessibilityAPIEnabled
下面 说是如何查找来龙去脉的
下载MishInc FLV To MP3 converter是一个.jar文件,unpack安装后,有一个同意条款页就是那个Premier * Opinion的,一旦你同意,它会生成下面两个文件
/private/tmp :
script.sh和一个可执行文件
poinstaller, 一旦你连接上网,它会下载两个目录
installtmp and
tapinstaller,每个目录都保存有相同的内容
PremierOpinion ,
installtmp 里有一个不同文件大小的
poinstaller和
tapinstaller,包括
upgrade.xml文件,这个文件指向服务器
post.securestudies.com 的
rule14.xml 文件,而这个文件指向 PremierOpinion.zip 文件,这个就是最新的间谍软件的下载。
如果仔细查看poinstaller,它里面还包括这个网站it.kingroutecn.com,同样是rule14.xml文件,里面却指向另外一个网占 PermissionResearch。而无论 Permission Research 还是 Premier Opinion ,都在 ComScore 公司的地址范围内, 而且是同一个公司。这个可以通过whois来确认如下:
Registrant:
TMRG, INC.
11950 Democracy Dr.
Suite 600
Reston, VA 20190
US
Domain Name: SECURESTUDIES.COM
Administrative Contact, Technical Contact:
Administrator, Domain
TMRG, INC.
11950 Democracy Dr.
Suite 600
Reston, VA 20190
US
703-438-2000 fax: 512-727-3144
Record expires on 17-Aug-2010.
Record created on 17-Aug-2005.
Domain servers in listed order:
DNS01.IAD.COMSCORE.COM 66.119.41.13
DNS01.ORD.COMSCORE.COM 4.79.208.231
DNS02.IAD.COMSCORE.COM 66.119.41.25
DNS02.ORD.COMSCORE.COM 4.79.208.232
重点 在这里而it.kingroutecn.com网站的地址是 218.108.8.85(不要使用ping,而是dig或者Windows的nslookup) , kingroutecn.com域名是通过美国的一个域名公司 bluehost.com 注册的, 反向查找 它指向hidden-master.hzman.net服务器,再查找地址可以找到下面信息,其中明确指出,地址公司联系人等等 ,如果谁可以联系到这家公司,请他们注意安全。
218.108.8.85 is from China(CN) in region Southern and Eastern Asia Whois query for 218.108.8.85... Results returned from whois.arin.net: OrgName: Asia Pacific Network Information Centre OrgID: APNIC Address: PO Box 2131 City: Milton StateProv: QLD PostalCode: 4064 Country: AU ReferralServer: whois://whois.apnic.net NetRange: 218.0.0.0 - 218.255.255.255 CIDR: 218.0.0.0/8 NetName: APNIC4 NetHandle: NET-218-0-0-0-1 Parent: NetType: Allocated to APNIC NameServer: NS1.APNIC.NET NameServer: NS3.APNIC.NET NameServer: NS4.APNIC.NET NameServer: NS-SEC.RIPE.NET NameServer: TINNIE.ARIN.NET Comment: This IP address range is not registered in the ARIN database. Comment: For details, refer to the APNIC Whois Database via Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry Comment: for the Asia Pacific region. APNIC does not operate networks Comment: using this IP address range and is not able to investigate Comment: spam or abuse reports relating to these addresses. For more Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming RegDate: 2000-12-07 Updated: 2009-10-08 OrgTechHandle: AWC12-ARIN OrgTechName: APNIC Whois Contact OrgTechPhone: +61 7 3858 3188 OrgTechEmail: [email protected] # ARIN WHOIS database, last updated 2010-06-03 20:00 # Enter ? for additional hints on searching ARIN's WHOIS database. # # ARIN WHOIS data and services are subject to the Terms of Use # available at https://www.arin.net/whois_tou.html Results returned from whois.apnic.net: % [whois.apnic.net node-2] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 218.108.0.0 - 218.109.255.255 netname: WASU descr: WASU TV & Communication Holding Co.,Ltd. descr: 6/F, Jian Gong Building, NO.20 Wen San Road, Hangzhou, descr: Zhejiang province, P.R.China 310012 country: CN admin-c: XZ1291-AP tech-c: TF142-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-routes: MAINT-CNNIC-AP changed: [email protected] 20080123 source: APNIC person: Xianlong Zeng nic-hdl: XZ1291-AP e-mail: [email protected] address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province phone: +86-0571-28958852 fax-no: +86-0571-85214455 country: CN changed: [email protected] 20071123 mnt-by: MAINT-CNNIC-AP source: APNIC person: Tao Feng nic-hdl: TF142-AP e-mail: [email protected] address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province phone: +86-0571-28958888-8108 fax-no: +86-0571-85214455 country: CN changed: [email protected] 20100513 mnt-by: MAINT-CNNIC-AP source: APNIC
网络安全不是不丢孩子,搞不好会丢人。
Tony Liu, June 3, 2010深夜12:59am
原文链接: http://blog.csdn.net/afatgoat/article/details/5647573