最近一款名為“WireLurker”的專(zhuān)門(mén)攻擊蘋(píng)果設(shè)備的惡意軟件被曝光，該惡意軟件只針對(duì)中國(guó)蘋(píng)果用戶(hù)，近六個(gè)月以來(lái)已有約40萬(wàn)人中招，這其中甚至還包括了未越獄的iOS用戶(hù)。雖然蘋(píng)果已屏蔽了這些惡意軟件。但仍有很多人對(duì)此非常關(guān)注，360手機(jī)安全專(zhuān)家已經(jīng)對(duì)“WireLurker”做了一份技術(shù)分析報(bào)告。原來(lái)傳說(shuō)中的首個(gè)未越獄蘋(píng)果病毒就長(zhǎng)這樣：

木馬特點(diǎn)：

◆已知的OS X平臺(tái)木馬族系中，傳播規(guī)模最大的

◆所有OS X平臺(tái)木馬族系中，第二個(gè)可以通過(guò)USB感染iOS平臺(tái)的

◆第一款通過(guò)二進(jìn)制替換方式自動(dòng)生成的iOS惡意程序的木馬

◆第一款能像傳統(tǒng)木馬一樣感染已安裝的iOS程序的木馬

◆第一款通過(guò)企業(yè)授權(quán)在未越獄的iOS設(shè)備上安裝第三方應(yīng)用的木馬

據(jù)統(tǒng)計(jì)木馬以467款不同的軟件身份傳播，累計(jì)下載量達(dá)到356104次，感染數(shù)十萬(wàn)用戶(hù)。

時(shí)間軸：

2014-04-30出現(xiàn)第一版，只向服務(wù)器發(fā)送信息，沒(méi)有其他行為

2014-05-07 出現(xiàn)第二版，向服務(wù)器發(fā)送信息，向越獄的iOS設(shè)備推送惡意應(yīng)用

2014-08 出現(xiàn)第三版，與服務(wù)器用加密協(xié)議進(jìn)行通信，并向所有iOS設(shè)備推送惡意應(yīng)用

Mac OS和iOS平臺(tái)上的木馬行為：

病毒的擴(kuò)散比較有特點(diǎn)，先感染Mac OS電腦，然后通過(guò)USB感染到iOS手機(jī)上，手機(jī)只要通過(guò)USB連接到電腦，手機(jī)就會(huì)被感染。這包括越獄手機(jī)和未越獄手機(jī)：

越獄手機(jī)上會(huì)被安裝惡意文件/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib

這個(gè)文件會(huì)讀取用戶(hù)的隱私并上傳服務(wù)器，包括用戶(hù)的通訊錄和短信

未越獄手機(jī)會(huì)被安裝通過(guò)企業(yè)版證書(shū)簽名的App：

把/usr/local/machook/ipa/下面的惡意ipa安裝到手機(jī)上

專(zhuān)家對(duì)越獄手機(jī)的惡意程序sfbase.dylib進(jìn)行了分析，可以發(fā)現(xiàn)：

惡意程序讀取了用戶(hù)的短信內(nèi)容和通訊錄中聯(lián)系人的內(nèi)容;

讀取用戶(hù)的iMessage數(shù)據(jù);

讀取廣告標(biāo)識(shí)符，這些都是用戶(hù)的隱私數(shù)據(jù);

然后將這些用戶(hù)的隱私信息上傳到一個(gè)叫www.comeinbaby.com的服務(wù)器;

木馬會(huì)將自身設(shè)置為隱藏屬性，這樣用戶(hù)就無(wú)法在Finder中看到木馬文件了(但在終端里依然可以看到的)

第一次運(yùn)行的木馬會(huì)釋放/Resources/start.sh和/Resources /FontMap1.cfg到/Users/Shared/下。獲取管理員權(quán)限，并在管理員權(quán)限下執(zhí)行/Users/Shared/start.sh

start.sh會(huì)解壓同一目錄下的FontMap1.cfg文件(實(shí)際是ZIP包)到/user/local/machook/下。并將解壓出來(lái)的"com.apple.machook_damon.plist"和"com.apple.globalupdate.plist"復(fù)制到/Library/LaunchDaemons/目錄下，同時(shí)將其注冊(cè)為系統(tǒng)啟動(dòng)守護(hù)進(jìn)程。完成后啟動(dòng)這兩個(gè)程序用于啟動(dòng)控制命令。最后將解壓后的globalupdate文件釋放到/usr/bin/目錄下讓其成為一個(gè)全局命令。

同時(shí)木馬會(huì)上傳用戶(hù)信息作為打點(diǎn)記錄

木馬進(jìn)程一旦被啟動(dòng)，就會(huì)作為要給后臺(tái)程序一直運(yùn)行，等待iOS設(shè)備的連入。而啟動(dòng)后臺(tái)進(jìn)程主要通過(guò)以下方式：

1. 啟動(dòng)任何被木馬二次打包過(guò)的程序，都會(huì)啟動(dòng)木馬的后臺(tái)進(jìn)程

2. 木馬無(wú)論在初始化或是升級(jí)腳本都會(huì)創(chuàng)建并加載系統(tǒng)啟動(dòng)守護(hù)進(jìn)程，確保木馬本身在重啟后依然生效

3. 某些木馬樣本還會(huì)在啟動(dòng)命令時(shí)調(diào)用守護(hù)進(jìn)程

之前已經(jīng)說(shuō)了，第三版的木馬會(huì)使用加密協(xié)議與服務(wù)器通信。主要使用了DES加密

傳輸?shù)募用軘?shù)據(jù)分為兩部分：

u 前10個(gè)字節(jié)為一串?dāng)?shù)字，將其逐個(gè)求和，得到的結(jié)果再遇”dksyel”拼接成一個(gè)字符串，這個(gè)字符串就是密鑰。

u 10字節(jié)以后的數(shù)據(jù)才是真正的傳輸內(nèi)容，先用base64算法解碼，結(jié)果再使用上面算出的密鑰進(jìn)行DES算法解密(模式采用的是ECB模式，填充模式使用的是PKCS5)

連入iOS設(shè)備后，木馬會(huì)包括電話(huà)號(hào)碼在內(nèi)的各種隱私信息發(fā)送到統(tǒng)計(jì)服務(wù)器上(comeinbaby.com)

木馬下載iOS安裝包，安裝到iOS設(shè)備中

之所以能夠?qū)pa包安裝到未越獄的iOS設(shè)備上，是因?yàn)槭褂昧颂O(píng)果授權(quán)的企業(yè)證書(shū)。蘋(píng)果官方允許企業(yè)申請(qǐng)企業(yè)證書(shū)，然后再企業(yè)內(nèi)部分發(fā)自己開(kāi)發(fā)的應(yīng)用程序，此類(lèi)程序不需要通過(guò)AppStore也可安裝，唯一的區(qū)別是在安裝的時(shí)候會(huì)提示用戶(hù)是否信任該證書(shū)并安裝程序(只有第一次會(huì)顯示，一旦確認(rèn)，以后便不會(huì)再有任何顯示)。雖然有提醒，但普通用戶(hù)的安全意識(shí)不高，還是會(huì)有很多人選擇信任最終導(dǎo)致被安裝了各種流氓推廣甚至是病毒程序。

那么問(wèn)題來(lái)了，咋防范?360手機(jī)衛(wèi)士建議：

1 、 盡量不要通過(guò)連接MAC電腦安裝非蘋(píng)果官方APP Store的第三方應(yīng)用。

2 、 出現(xiàn)未知應(yīng)用時(shí)，盡量不要打開(kāi)。

3 、 如果不慎打開(kāi)，不要賦予任何隱私權(quán)限，并盡快將其盡快卸載。

4 、 已越獄用戶(hù)盡快下載360手機(jī)衛(wèi)士專(zhuān)業(yè)版查殺。