Mac 伪装成LOL的门罗币木马 中毒解决方案

in #cn6 years ago

Mac 伪装成LOL的门罗币木马 中毒解决方案

现象

根据我整理的中招用户情况,一般会有以下几个症状:

  • CPU占用率高(我的情况)
  • 系统卡顿
  • 活动监视器打不开(我的情况)
  • 电脑过热(我的情况)
  • osascript进程cpu占用率高达300%(我的情况)

原因

我为了想玩mac版的英雄联盟,百度搜索后,我从网址为lolmac.lofter.com的网页上,下载了一个所谓英雄联盟mac版的dmg安装包,然而安装后,并没有任何用。

第二天开机,联上网,cpu就占用了一半,一看一个叫osascript的进程cpu占用率高达300%。我想打开活动监视器,却无论如何都打不开。

解决方案

杀死进程

  • 因为打不开活动监视器(我的情况),所以通过终端来杀死进程;打开终端,输入以下命令。
top
  • 从列表中,查看osascript的进程PID号,然后按q退出。
  • 杀死osascript的进程,输入以下命令,输入当前mac用户的登陆密码。
sudo kill -9 ###(osascript的PID号)
  • 再次查看是否还有高cpu占用率的进程,按q退出。
top
  • 访达中,选择前往文件夹。
  • 在弹出的路径输入框中,输入相关路径。
  • 删除~/Library/LaunchAgents下的
    com.apple.Yahoo.plist文件(我的情况)
    com.apple.Google.plist文件(我的情况)
  • 删除~/Library/Safari下的
    html.html
    mp3.mp3
    ssl.plist(如有)(挖矿程序)
    ssl2.plist(如有)(挖矿程序)(我的情况)
    pools.txt
    cpu.txt
    config.txt

参考资料

关于一个伪装成LOL的Mac病毒)
Mac下一款门罗币挖矿木马的简要分析

Sort:  

赞! 哈哈为啥都是门罗币

Posted using Partiko Android

我也是很郁闷,反正总算排查出来了。