已经发现了十字架广告软件的新变种,其以独特的方式感染MAC。在大多数情况下,这种变体仍然是非常普通的,做一些我们在Mac广告软件中看到的几年相同的旧事物。但是,配置配置文件的使用介绍了一种维护持久性的唯一新方法。

持久性是大多数恶意软件的目标。毕竟,如果恶意软件在电脑重新启动后立即停止运行,它会感染机器是什么好处?有一些情况仍然可以有用(例如,勒索软件),但在大多数情况下,这不是所需的行为。因此恶意软件创建者通常使用相同的持久性持久性,易于发现。有时,他们得到了创造性的。

感染的方法

这种新的Crossrider变体在表面上看起来不太多。这是另一个假冒Adobe Flash播放器安装人员,看起来像多年来我们看到的数千人。

打开安装程序导致熟悉的安装过程,没有任何唯一的唯一。在安装过程中,它转储高级Mac清理程序的副本,开始宣布使用Siri的语音发现了系统的问题。(当然,没有这样的问题实际存在。)Safari也会突破,然后怀疑再次关闭。就恶魔软件而言,这一切都非常勃朗。

但在幕后发生了一些有趣的事情。在移除高级Mac Cleaner,并移除Crossrider的所有各种组件后,仍然存在一个问题。Safari的主页设置仍然锁定在与crossrider相关的域,无法更改。

恶意配置概要文件

事实证明,这是由广告软件上安装在系统上的配置配置文件引起的。配置配置文件为企业中的IT管理员提供了一种控制其MAC的行为的手段。这些配置文件可以配置MAC进行许多不同的东西,其中一些是不可能的。

在这个Crossrider变体的情况下,安装的配置文件迫使Safari和Chrome总是打开chumsearch[dot]com的页面。这也可以防止用户在浏览器设置中更改该行为。

可以通过打开System Preferences找到配置文件,然后单击Profiles图标。(如果没有配置文件图标,说明您没有安装任何配置文件,这是正常的。)

这个配置文件安装时带有com.myshopcoupon的标识符。www,在系统首选项中不可见。然而,通过浏览详细信息并在chumsearch[dot]com上查找参考资料,你肯定可以确定这个人的身份。可以通过选择该恶意配置文件并单击窗口左下角的减(-)按钮来删除该恶意配置文件。

归因

chumsearch [dot] com域是链接到多个不同的广告软件程序的域,所有广告软件程序都可以追溯到Crossrider。它与MAC上最广泛的广告软件活动之一隶属,只有臭名昭着的Genieo广告软件,通过所有检测到的广告软件系列Malwarytes进行Malwarebys的Malwarebys检测。必威平台APP

chumsearch [dot] com网站包含广告MacKeeper(由KromTech制作的麦斯科斯队上最广泛分布的潜在不需要的程序。来自KromTech的广告资金无疑是这个网站本身支付的方式之一。具有讽刺意味的是,此广告软件也安装了另一只臭名昭着的Mac小狗高级Mac清洁,由PCVARK,这是一个类似MacKeeper的程序,也是它的竞争对手。

显然,并非所有部分的所有部分都是与交叉器的关联,但是配置文件统计的Chumsearch结构域绝对是。

如果你是IT管理员

对于那些管理mac机队并需要远程检查和/或删除这些配置文件的读者来说,使用一些简单的shell脚本就很容易了。

在MacOS 10.12及更早版本上,您可以使用这样的命令:

sudo配置文件- l

这也适用于MacOS 10.13,但还有更新的语法,将来最好使用:

sudo配置文件列表

无论哪种方式,如果你看到一个不熟悉的配置文件,特别是一个profileIdentifier为com.myshopcoupon的配置文件。Www,那个档案应该被删除。这可以在macOS 10.12或更早的版本上通过以下命令来完成:

sudo profiles -R -p com.myshopcoupon.www

或者,对于macOS 10.13:

sudo配置文件删除-identifier com.myshopcoupon.www

闪闪发光

好消息是,这种感染方法并没有什么特别狡猾的地方。假冒Adobe Flash Player安装程序并不是什么新鲜事,而且很容易避免。尽管如此,人们还是会继续上当受骗。

如果您在Web浏览器中看到邮件告诉您需要更新Adobe Flash Player,它几乎肯定是一个骗局。不要遵循这些消息提供的任何方向,尤其是不要下载并安装他们告诉您的任何东西。

如果你的Mac上已经安装了Flash,并且你认为它需要更新,你可以在“系统偏好”的Flash Player窗格的“更新”选项卡中检查并安装更新。

如果你想在Mac上首次安装Flash,首先要三思而后行。Flash是一种即将消亡的技术,也是安全漏洞的持续来源。现在很少有网站真正需要Flash。然而,如果你真的坚持要安装它,你应该只从Adobe的网站下载它。