最近一款名為“WireLurker”的專門攻擊蘋果設備的惡意軟件被曝光，該惡意軟件只針對中國蘋果用戶，近六個月以來已有約40萬人中招，這其中甚至還包括了未越獄的iOS用戶。雖然蘋果已屏蔽了這些惡意軟件。但仍有很多人對此非常關注，360手機安全專家已經(jīng)對“WireLurker”做了一份技術分析報告。原來傳說中的首個未越獄蘋果病毒就長這樣：

木馬特點：

◆已知的OS X平臺木馬族系中，傳播規(guī)模最大的

◆所有OS X平臺木馬族系中，第二個可以通過USB感染iOS平臺的

◆第一款通過二進制替換方式自動生成的iOS惡意程序的木馬

◆第一款能像傳統(tǒng)木馬一樣感染已安裝的iOS程序的木馬

◆第一款通過企業(yè)授權在未越獄的iOS設備上安裝第三方應用的木馬

據(jù)統(tǒng)計木馬以467款不同的軟件身份傳播，累計下載量達到356104次，感染數(shù)十萬用戶。

時間軸：

2014-04-30出現(xiàn)第一版，只向服務器發(fā)送信息，沒有其他行為

2014-05-07 出現(xiàn)第二版，向服務器發(fā)送信息，向越獄的iOS設備推送惡意應用

2014-08 出現(xiàn)第三版，與服務器用加密協(xié)議進行通信，并向所有iOS設備推送惡意應用

Mac OS和iOS平臺上的木馬行為：

病毒的擴散比較有特點，先感染Mac OS電腦，然后通過USB感染到iOS手機上，手機只要通過USB連接到電腦，手機就會被感染。這包括越獄手機和未越獄手機：

越獄手機上會被安裝惡意文件/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib

這個文件會讀取用戶的隱私并上傳服務器，包括用戶的通訊錄和短信

未越獄手機會被安裝通過企業(yè)版證書簽名的App：

把/usr/local/machook/ipa/下面的惡意ipa安裝到手機上

專家對越獄手機的惡意程序sfbase.dylib進行了分析，可以發(fā)現(xiàn)：

惡意程序讀取了用戶的短信內(nèi)容和通訊錄中聯(lián)系人的內(nèi)容;

讀取用戶的iMessage數(shù)據(jù);

讀取廣告標識符，這些都是用戶的隱私數(shù)據(jù);

然后將這些用戶的隱私信息上傳到一個叫www.comeinbaby.com的服務器;

木馬會將自身設置為隱藏屬性，這樣用戶就無法在Finder中看到木馬文件了(但在終端里依然可以看到的)

第一次運行的木馬會釋放/Resources/start.sh和/Resources /FontMap1.cfg到/Users/Shared/下。獲取管理員權限，并在管理員權限下執(zhí)行/Users/Shared/start.sh

start.sh會解壓同一目錄下的FontMap1.cfg文件(實際是ZIP包)到/user/local/machook/下。并將解壓出來的"com.apple.machook_damon.plist"和"com.apple.globalupdate.plist"復制到/Library/LaunchDaemons/目錄下，同時將其注冊為系統(tǒng)啟動守護進程。完成后啟動這兩個程序用于啟動控制命令。最后將解壓后的globalupdate文件釋放到/usr/bin/目錄下讓其成為一個全局命令。

同時木馬會上傳用戶信息作為打點記錄

木馬進程一旦被啟動，就會作為要給后臺程序一直運行，等待iOS設備的連入。而啟動后臺進程主要通過以下方式：

1. 啟動任何被木馬二次打包過的程序，都會啟動木馬的后臺進程

2. 木馬無論在初始化或是升級腳本都會創(chuàng)建并加載系統(tǒng)啟動守護進程，確保木馬本身在重啟后依然生效

3. 某些木馬樣本還會在啟動命令時調用守護進程

之前已經(jīng)說了，第三版的木馬會使用加密協(xié)議與服務器通信。主要使用了DES加密

傳輸?shù)募用軘?shù)據(jù)分為兩部分：

u 前10個字節(jié)為一串數(shù)字，將其逐個求和，得到的結果再遇”dksyel”拼接成一個字符串，這個字符串就是密鑰。

u 10字節(jié)以后的數(shù)據(jù)才是真正的傳輸內(nèi)容，先用base64算法解碼，結果再使用上面算出的密鑰進行DES算法解密(模式采用的是ECB模式，填充模式使用的是PKCS5)

連入iOS設備后，木馬會包括電話號碼在內(nèi)的各種隱私信息發(fā)送到統(tǒng)計服務器上(comeinbaby.com)

木馬下載iOS安裝包，安裝到iOS設備中

之所以能夠將ipa包安裝到未越獄的iOS設備上，是因為使用了蘋果授權的企業(yè)證書。蘋果官方允許企業(yè)申請企業(yè)證書，然后再企業(yè)內(nèi)部分發(fā)自己開發(fā)的應用程序，此類程序不需要通過AppStore也可安裝，唯一的區(qū)別是在安裝的時候會提示用戶是否信任該證書并安裝程序(只有第一次會顯示，一旦確認，以后便不會再有任何顯示)。雖然有提醒，但普通用戶的安全意識不高，還是會有很多人選擇信任最終導致被安裝了各種流氓推廣甚至是病毒程序。

那么問題來了，咋防范?360手機衛(wèi)士建議：

1 、 盡量不要通過連接MAC電腦安裝非蘋果官方APP Store的第三方應用。

2 、 出現(xiàn)未知應用時，盡量不要打開。

3 、 如果不慎打開，不要賦予任何隱私權限，并盡快將其盡快卸載。

4 、 已越獄用戶盡快下載360手機衛(wèi)士專業(yè)版查殺。