MacOS: supprimer les logiciels malveillants Wirelurker

Dans cette astuce pratique, nous expliquons ce que fait le malware Wirelurker et comment vous pouvez le supprimer.

Wirelurker: Ce qu'il fait et d'où il vient

• Le malware Wirelurker arrive sur votre Mac via des téléchargements depuis le portail de téléchargement chinois "Maiyadi App Store", probablement via la vulnérabilité de sécurité d'OS X "Rootpipe".
• Le site est bien connu pour sa large gamme de copies piratées de logiciels populaires et est souvent utilisé.
• Le malware ne nuit pas à votre Mac, sauf qu'il démarre un service exécuté en arrière-plan. Cela n'attend que vous pour connecter un appareil iOS au Mac.
• Ici, Wirelurker enregistre ensuite le numéro de série et de téléphone, les données du compte iTunes et d'autres détails personnels de l'appareil iOS. Ceux-ci sont envoyés à un serveur. Si l'appareil iOS est jailbreaké et que le service afc2 est activé, des logiciels malveillants supplémentaires sont installés. L'historique d'iMessage, les contacts du carnet d'adresses et d'autres données sont ainsi exploités et envoyés à un serveur.

C'est là que le malware Wirelurker se bloque

Les composants individuels du Wirelurker sont répartis sur plusieurs répertoires sur votre Mac. La liste suivante montre les fichiers et répertoires.

• Fichier: run.sh - Répertoire: / Utilisateurs / Nom du compte / Public
• Fichier: com.apple.machook_damon.plist - répertoire: / Library / LaunchDaemons
• Fichier: com.apple.globalupdate.plist - répertoire: / Library / LaunchDaemons
• Fichier: com.apple.watchproc.plist - Répertoire: / Library / LaunchDaemons
• Fichier: com.apple.itunesupdate.plist - répertoire: / Library / LaunchDaemons
• Fichier: com.apple.appstore.plughelper.plist - répertoire: / System / Library / LaunchDaemons
• Fichier: com.apple.MailServiceAgentHelper.plist - répertoire: / System / Library / LaunchDaemons
• Fichier: com.apple.systemkeychain-helper.plist - répertoire: / System / Library / LaunchDaemons
• Fichier: com.apple.periodic-dd-mm-yy.plist - répertoire: / System / Library / LaunchDaemons
• Fichier: globalupdate / usr / local / machook / - répertoire: / usr / bin
• Fichier: répertoire WatchProc: / usr / bin
• Fichier: itunesupdate - répertoire: / usr / bin
• Fichier: com.apple.MailServiceAgentHelper - répertoire: / usr / bin
• Fichier: com.apple.appstore.PluginHelper - répertoire: / usr / bin
• Fichier: perioddate - répertoire: / usr / bin
• Fichier: systemkeychain-helper - répertoire: / usr / bin
• Fichier: stty5.11.pl - répertoire: / usr / bin

Comment se débarrasser du malware Wirelurker

Pour supprimer le malware, il suffit de supprimer les différents composants des répertoires. Cependant, comme ceux-ci sont distribués dans différents répertoires, la recherche est assez complexe. Un petit script python fait le travail pour vous.

1. Téléchargez le script WireLurkerDetector depuis GitHub. Pour ce faire, démarrez le terminal sur votre Mac et entrez la commande "curl -O //raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py".
2. Entrez la commande "python WireLurkerDetectorOSX.py" pour exécuter le script. Ensuite, vous voyez le résultat du détecteur.
3. Ensuite, vous devez réinitialiser tous les appareils iOS connectés au Mac infecté.