一个 Mac OS X 远程偷拍图片的木马，其作者被指控使用该木马长达 13 年

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2840 天前的主题，其中的信息可能已经有所发展或是发生改变。

https://blog.malwarebytes.com/threat-analysis/2017/01/nw-mac-backdoor-using-antiquated-code/

这玩意错综复杂，本体是一个 perl 脚本，自带使用 screencapture 命令截图的功能，然后会释放一个 Java 的 class 文件和一个可执行文件，并试图运行它们；整个程序运行在当前用户权限之下。可执行文件里面使用了 QuickTime 的 API （ Sequence Grabber ）来调用摄像头拍摄图片，使用了非 libjpeg-turbo 的古董版本 libjpeg 来压缩图片。原文认为，这两套东西都比 Mac OS X 10.0 都早，说明这个木马最早版本可能是 N 年之前的产物，甚至可能在 Mac 还是 PowerPC 的时期就搞出来了。而这个 Java 程序里面又是另外一种截图方法，以及模拟键盘鼠标操作。

程序还会从服务器上下载两个 perl 脚本，负责用 mDNS 查找内网其他机器并连接其他机器，但并没有提到其使用漏洞向其他机器传播自身。原文从脚本中和 Yosemite 相关的一处注释上来看，这个木马至少是从 Yosemite 时期开始活动的，然后于 2017 年初被发现。奇怪的是，这个木马如此简单（就是一个 launchagent+一个 perl 脚本），没有使用任何漏洞，除了混淆了 perl 代码之外也没有任何自我保护措施，居然在 2017 年 1 月之前一直没有被发现。

一个看姓氏是俄罗斯或者东欧的黑客 Phillip R. Durachinsky 在 2017 年初因为其他的案件被捕，上周在联邦法庭遭到起诉，根据指控，他利用这个木马偷拍照片为期长达 13 年，偷拍了数百万张图片。 https://www.justice.gov/opa/pr/ohio-computer-programmer-indicted-infecting-thousands-computers-malicious-software-and https://arstechnica.com/information-technology/2018/01/man-charged-in-malware-mystery-that-allegedly-spied-on-mac-users-for-13-years/

perl

木马

脚本

Mac

13 条回复 2018-01-13 16:30:41 +08:00

viosey

2018-01-12 00:42:14 +08:00

自从看了黑镜，摄像头已用黑胶布贴住 (滑稽

yksoft1

2018-01-12 00:46:49 +08:00

2017 年 1 月被捕的 13 年前，现年 28 岁的这个木马作者应该是 14 岁。估计当时他看的 90 年代末的 Mac 文档开发出了这个程序。。。

marenight

2018-01-12 02:53:13 +08:00 via iPhone

妈的，不是说 mac 的摄像头指示灯是写在固件里的么?

nicevar

2018-01-12 07:13:59 +08:00 via iPhone

mac 中木马的人真不少，而且相当一部分是 IT 行业，很多人不知道自己中招了，还整天在那宣扬 mac 很安全，老毛子特爱在破解软件上绑木马，特别是 pd，安装的时候弹出密码授权框蒙骗过关

iPhone8

2018-01-12 08:29:21 +08:00

@nicevar “还整天在那宣扬 mac 很安全”，所以我一直很讨厌果蛆

zhaogaz

2018-01-12 09:33:47 +08:00

@nicevar 那怎么才能找到破解软件上的木马呢，，用什么工具扫一下比较好？电脑里有不少破解软件，有点慌

run2

2018-01-12 10:31:08 +08:00

@zhaogaz #6 https://github.com/synack/knockknock 可以查看所有的启动项，可以排查但一个个看下来还是很累的

lfzyx

2018-01-12 14:03:28 +08:00

@nicevar @zhaogaz 为什么要用破解软件呢

tagtag

2018-01-12 16:24:47 +08:00

用了 mac 之后软件费用花了 3000+了，支持正版是一个原因，另一个原因就是 mac 上的破解软件来源非常混杂，你不知道谁在里面加了什么料，而且很多正版开源软件安装的时候也会要求权限，弹出密码框，所以安装未知来源软件时候没法确定给不给权限，然而 mac 上的安全性常年不被重视，一直宣扬安全也是因为仅仅 macOS 份额太小，可能不值得特意开发恶意软件，而不是系统多么牢不可破，加之没有类似 windows 平台的优秀杀软，如果你的软件大多数是盗版的，千万别说你的 mac 很安全，搞不好已经千疮百孔了。

nicevar

2018-01-12 19:14:16 +08:00

@zhaogaz 没有什么好的工具，毕竟 mac 上反病毒落后 win 太多，通过蒙骗的手段搞定 mac 比 win 容易多了，win 上面的防护软件基本上各个角落都盯着，调用个 api 都被盯着，没有深厚的内核技术根本搞不定，mac 下就不一样了，基本上没有任何防护软件的，很低的技术含量就能搞定一堆
所以最好的办法是自己清楚每一个进程，经常观察网络端口连接情况，看是否有奇怪的请求

nicevar

2018-01-12 19:25:39 +08:00

@lfzyx 你这问题问得，中国的盗版率你又不是不知道，整个互联网时代都是盗版中发展过来的，只不过最近几年才开始大量提倡使用正版，mac 上的软件我需要用的都买了，对于一些软件买了它有 bug 不给你解决，强行要你掏同样的钱买升级版本的，这种当然直接干掉它，mac 上的软件破解也不难，毕竟不像 win 下的软件，各种反制手段，加壳虚拟机等，就是因为弄这个才发现老毛子在破解软件上绑东西

zhaogaz

2018-01-13 12:32:55 +08:00

@lfzyx 好多年前下载的东西，很多都还留着。。。

zjsxwc

2018-01-13 16:30:41 +08:00

@sobigfish #6

python 有点坑，我跑这代码前还要加点料避免编码缘故报错，（摔。。。

```
# encoding=utf8
import sys

reload(sys)
sys.setdefaultencoding('utf8')
```