Mac OS X: 再续〉安全警告，病毒就在你身边

方秀隽

Mac OS X: 再续〉安全警告，病毒就在你身边
1. 沉重

　　这次心情很沉重！因为这个间谍软件居然和咱们中国又有着联系！联想到前些日子的Goolge对中国说不做恶，指责中国如何如何的，这些就不重复了，结果是那些外国老大粗门都认为中国人会做病毒，会通过木马盗取他们的私人信息，还有专门的黑客学校，甚至认为病毒都是中国造的等等，而这些意味着什么吗？意味着在他们眼里中国人就是evil. 因为他们大多数都是粗人，脑子直，听风就是雨，而且粪青情节很重，对他们解释什么都没有用，他们一方面绝对信任自己的媒体，一方面要把自己平时不满的发泄找到出路。很不幸，中国人成为了他们又一个发泄对象。
　　
　　这些就不多说了，回归本题，这里之所以说：和咱们中国又有着联系，也就是我不想妄加定论，虽然通过下面的技术分析的确是和杭州的一个服务器有关，但是我宁愿相信那是一个肉鸡，其实直接指向自己的服务器的做法，无疑是愚蠢的，自投罗网。如果真是肉鸡，那么大家真的要对电脑和网络安全增加重视，增强防范意识和措施，否则真成了被人卖了还替人数钱的傻瓜了。中国人都不傻，可能有的人被眼前的金钱诱惑，就把自己卖了。我说，下次把自己卖个好价钱，至少两辈子不用发愁吃穿住行，好不好？！
　　
2. 技术

　　上面都是感慨，不愿听愿意看技术的请从这里开始：
首先说说如何比较彻底地移除这个间谍软件，执行下面的命令就可以了：
　　sudo launchctl unload -w /Library/LaunchDaemons/PremierOpinion.plistsudo rm /private/tmp/poinstallersudo rm /private/tmp/script.shsudo rm -rf /private/tmp/installtmpsudo rm -rf /private/tmp/autoupgradesudo rm -rf /private/tmp/tapinstallersudo rm -rf /Applications/PremierOpinionsudo rm /private/var/db/.AccessibilityAPIEnabled


下面说是如何查找来龙去脉的

下载MishInc FLV To MP3 converter是一个.jar文件，unpack安装后，有一个同意条款页就是那个Premier * Opinion的，一旦你同意，它会生成下面两个文件/private/tmp: script.sh和一个可执行文件poinstaller, 一旦你连接上网，它会下载两个目录installtmpand tapinstaller，每个目录都保存有相同的内容PremierOpinion, installtmp里有一个不同文件大小的poinstaller和tapinstaller，包括upgrade.xml文件，这个文件指向服务器post.securestudies.com的rule14.xml文件，而这个文件指向PremierOpinion.zip文件，这个就是最新的间谍软件的下载。
　　
　　

　　
　　如果仔细查看poinstaller，它里面还包括这个网站it.kingroutecn.com，同样是rule14.xml文件，里面却指向另外一个网占PermissionResearch。而无论Permission Research还是PremierOpinion，都在ComScore公司的地址范围内, 而且是同一个公司。这个可以通过whois来确认如下：
　　Registrant:TMRG, INC.11950 Democracy Dr.Suite 600Reston, VA 20190USDomain Name: SECURESTUDIES.COMAdministrative Contact, Technical Contact:Administrator, Domain                TMRG, INC.11950 Democracy Dr.Suite 600Reston, VA 20190US703-438-2000 fax: 512-727-3144Record expires on 17-Aug-2010.Record created on 17-Aug-2005.Domain servers in listed order:DNS01.IAD.COMSCORE.COM       66.119.41.13DNS01.ORD.COMSCORE.COM       4.79.208.231DNS02.IAD.COMSCORE.COM       66.119.41.25DNS02.ORD.COMSCORE.COM       4.79.208.232
　　
　　重点在这里而it.kingroutecn.com网站的地址是218.108.8.85(不要使用ping,而是dig或者Windows的nslookup), kingroutecn.com域名是通过美国的一个域名公司bluehost.com 注册的，反向查找它指向hidden-master.hzman.net服务器，再查找地址可以找到下面信息，其中明确指出，地址公司联系人等等，如果谁可以联系到这家公司，请他们注意安全。
　　
　　218.108.8.85 is from China(CN) in region Southern and Eastern AsiaWhois query for 218.108.8.85...Results returned from whois.arin.net:OrgName:    Asia Pacific Network Information Centre OrgID:      APNICAddress:    PO Box 2131City:       MiltonStateProv:  QLDPostalCode: 4064Country:    AUReferralServer: whois://whois.apnic.netNetRange:   218.0.0.0 - 218.255.255.255 CIDR:       218.0.0.0/8 NetName:    APNIC4NetHandle:  NET-218-0-0-0-1Parent:     NetType:    Allocated to APNICNameServer: NS1.APNIC.NETNameServer: NS3.APNIC.NETNameServer: NS4.APNIC.NETNameServer: NS-SEC.RIPE.NETNameServer: TINNIE.ARIN.NETComment:    This IP address range is not registered in the ARIN database.Comment:    For details, refer to the APNIC Whois Database viaComment:    WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.plComment:    ** IMPORTANT NOTE: APNIC is the Regional Internet RegistryComment:    for the Asia Pacific region. APNIC does not operate networksComment:    using this IP address range and is not able to investigateComment:    spam or abuse reports relating to these addresses. For moreComment:    help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spammingRegDate:    2000-12-07Updated:    2009-10-08OrgTechHandle: AWC12-ARINOrgTechName:   APNIC Whois Contact OrgTechPhone:  +61 7 3858 3188OrgTechEmail:  search-apnic-not-arin@apnic.net# ARIN WHOIS database, last updated 2010-06-03 20:00# Enter ? for additional hints on searching ARIN's WHOIS database.## ARIN WHOIS data and services are subject to the Terms of Use# available at https://www.arin.net/whois_tou.htmlResults returned from whois.apnic.net:% [whois.apnic.net node-2]% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.htmlinetnum:      218.108.0.0 - 218.109.255.255netname:      WASUdescr:        WASU TV & Communication Holding Co.,Ltd.descr:        6/F, Jian Gong Building, NO.20 Wen San Road, Hangzhou,descr:        Zhejiang province, P.R.China 310012country:      CNadmin-c:      XZ1291-APtech-c:       TF142-APstatus:       ALLOCATED PORTABLEmnt-by:       MAINT-CNNIC-APmnt-lower:    MAINT-CNNIC-APmnt-routes:   MAINT-CNNIC-APchanged:      hm-changed@apnic.net 20080123source:       APNICperson:       Xianlong Zengnic-hdl:      XZ1291-APe-mail:       allon@chinahcn.comaddress:      No.9 ShuGuang Road,HangZhou City,ZheJiang Provincephone:        +86-0571-28958852fax-no:       +86-0571-85214455country:      CNchanged:      ipas@cnnic.cn 20071123mnt-by:       MAINT-CNNIC-APsource:       APNICperson:         Tao Fengnic-hdl:        TF142-APe-mail:         fengtao@chinahcn.comaddress:        No.9 ShuGuang Road,HangZhou City,ZheJiang Provincephone:          +86-0571-28958888-8108fax-no:         +86-0571-85214455country:        CNchanged:        ipas@cnnic.cn 20100513mnt-by:         MAINT-CNNIC-APsource:         APNIC
　　
　　
　　网络安全不是不丢孩子，搞不好会丢人。
　　
　　Tony Liu, June 3, 2010深夜12:59am