अगर आपको लगता है कि आपका मैक मैलवेयर से सुरक्षित है, तो फिर से सोचें। मैलवेयर लेखक macOS सहित विभिन्न प्लेटफार्मों की कमजोरियों का फायदा उठाने में माहिर हो गए हैं। यह पिछले मैलवेयर संक्रमणों में स्पष्ट है जो मैक को लक्षित करते हैं, जिसमें श्लेयर मैलवेयर और शीर्ष परिणाम मैलवेयर शामिल हैं।
सिल्वर स्पैरो macOS मालवेयर क्या है?
हाल ही में, रेड कैनरी, मालवेयरबाइट्स और वीएमवेयर कार्बन ब्लैक सुरक्षा शोधकर्ताओं ने एक नए मैकओएस मैलवेयर की खोज की है जिसने वैश्विक स्तर पर 40,000 से अधिक मैक को संक्रमित किया है। इस नए खतरे का नाम सिल्वर स्पैरो है। मालवेयरबाइट्स के अनुसार, मैलवेयर संयुक्त राज्य अमेरिका, यूनाइटेड किंगडम, कनाडा, फ्रांस और जर्मनी के साथ उच्चतम सांद्रता वाले 153 देशों में फैल गया है। यह स्पष्ट नहीं है कि इन 40,000 में से कितने M1 Mac हैं और हम नहीं जानते कि वितरण कैसा दिखता है।
शोधकर्ताओं ने नोट किया है कि भले ही सिल्वर स्पैरो संक्रमित डिवाइस के लिए एक गंभीर गंभीर खतरा है, लेकिन यह कोई दुर्भावनापूर्ण व्यवहार नहीं दिखाता है जिसकी अक्सर सामान्य macOS एडवेयर से अपेक्षा की जाती है। यह मैलवेयर को और अधिक चौंकाने वाला बनाता है क्योंकि सुरक्षा विशेषज्ञों को पता नहीं है कि मैलवेयर को क्या करने के लिए डिज़ाइन किया गया था।
हालांकि, शोधकर्ताओं ने देखा कि दुर्भावनापूर्ण सॉफ़्टवेयर किसी भी समय दुर्भावनापूर्ण पेलोड देने के लिए तैयार रहता है। जांच करने पर, सिल्वर स्पैरो macOS मैलवेयर स्ट्रेन ने कभी भी संक्रमित डिवाइस पर दुर्भावनापूर्ण पेलोड नहीं दिया है, लेकिन उन्होंने प्रभावित मैक उपयोगकर्ताओं को चेतावनी दी है कि निष्क्रिय व्यवहार के बावजूद यह अभी भी महत्वपूर्ण जोखिम रखता है।
हालांकि शोधकर्ताओं ने सिल्वर स्पैरो को अतिरिक्त दुर्भावनापूर्ण पेलोड वितरित करते हुए नहीं देखा है, इसकी एम 1 चिप संगतता, वैश्विक पहुंच, उच्च संक्रमण दर और परिचालन परिपक्वता सिल्वर स्पैरो को एक गंभीर गंभीर खतरा बनाती है। सुरक्षा विशेषज्ञों ने यह भी पाया कि मैक मैलवेयर इंटेल और ऐप्पल सिलिकॉन प्रोसेसर दोनों के साथ संगत है।
सिल्वर स्पैरो मैलवेयर के विकास की एक कठिन समयरेखा यहां दी गई है:
- 18 अगस्त, 2020:मैलवेयर संस्करण 1 (गैर-M1 संस्करण) कॉलबैक डोमेन api.mobiletraits[.]com बनाया गया
- 31 अगस्त, 2020:मैलवेयर संस्करण 1 (गैर-M1 संस्करण) VirusTotal को सबमिट किया गया
- 2 सितंबर, 2020:वायरसटोटल को सबमिट किए गए मैलवेयर संस्करण 2 के निष्पादन के दौरान देखी गई version.json फ़ाइल
- 5 दिसंबर, 2020:मैलवेयर संस्करण 2 (M1 संस्करण) कॉलबैक डोमेन बनाया गया api.specialattributes[.]com बनाया गया
- 22 जनवरी, 2021:PKG फ़ाइल संस्करण 2 (एक M1 बाइनरी युक्त) VirusTotal को सबमिट किया गया
- 26 जनवरी, 2021:रेड कैनरी ने सिल्वर स्पैरो मैलवेयर संस्करण 1 का पता लगाया
- 9 फरवरी, 2021:रेड कैनरी ने सिल्वर स्पैरो मैलवेयर संस्करण 2 (M1 संस्करण) का पता लगाया
सिल्वर स्पैरो मैलवेयर क्या करता है?
सुरक्षा फर्म रेड कैनरी ने नए मैलवेयर की खोज की, जो नए M1 प्रोसेसर से लैस Mac को लक्षित करता है। मैलवेयर का नाम सिल्वर स्पैरो है, और कमांड निष्पादित करने के लिए macOS इंस्टालर जावास्क्रिप्ट एपीआई का उपयोग करता है। यहां आपको जानने की जरूरत है।
पक्का कोई नहीं जानता। एक बार मैक पर सिल्वर स्पैरो एक घंटे में एक बार सर्वर से जुड़ता है। सुरक्षा शोधकर्ता चिंतित हैं कि यह एक बड़े हमले के लिए तैयार हो सकता है।
सुरक्षा कंपनी रेड कैनरी का मानना है कि, जबकि सिल्वर स्पैरो ने अब तक एक दुर्भावनापूर्ण पेलोड दिया है, यह काफी गंभीर खतरा पैदा कर सकता है।
यह मैलवेयर इसलिए खास हो गया है क्योंकि यह Apple के M1 चिप पर चलता है। यह जरूरी नहीं है कि अपराधी विशेष रूप से M1 Mac को लक्षित कर रहे हैं, बल्कि यह बताता है कि M1 Mac और Intel Mac दोनों संक्रमित हो सकते हैं।
जो ज्ञात है वह यह है कि संक्रमित कंप्यूटर एक घंटे में एक बार सर्वर से संपर्क करते हैं, इसलिए यह किसी बड़े हमले की तैयारी का एक रूप हो सकता है।
कमांड निष्पादित करने के लिए मैलवेयर Mac OS इंस्टालर Javascript API का उपयोग करता है।
सुरक्षा कंपनी अब तक यह निर्धारित करने में असमर्थ रही है कि कैसे आदेश आगे कुछ भी ले जाते हैं, और यह अभी भी अज्ञात है कि सिल्वर स्पैरो किस हद तक खतरा बन गया है। सुरक्षा कंपनी फिर भी मानती है कि मैलवेयर गंभीर है।
Apple की ओर से, कंपनी ने सिल्वर स्पैरो मैलवेयर से जुड़े पैकेज पर हस्ताक्षर करने के लिए उपयोग किए गए प्रमाणपत्र को रद्द कर दिया है।
Apple की नोटरी सेवा के बावजूद, macOS मालवेयर डेवलपर्स ने Apple उत्पादों को सफलतापूर्वक लक्षित किया है, जिनमें MacBook Pro, MacBook Air और Mac Mini जैसे नवीनतम ARM चिप का उपयोग करने वाले उत्पाद शामिल हैं।
Apple का दावा है कि उसके पास "उद्योग-अग्रणी" उपयोगकर्ता सुरक्षा तंत्र है, लेकिन मैलवेयर का खतरा फिर से उभरता रहता है।
दरअसल, ऐसा लगता है कि खतरे वाले अभिनेता पहले से ही खेल से आगे हैं, एम 1 चिप्स को अपनी प्रारंभिक अवस्था में लक्षित कर रहे हैं। यह कई वैध डेवलपर्स के अपने एप्लिकेशन को नए प्लेटफॉर्म पर पोर्ट नहीं करने के बावजूद है।
Intel और ARM के लिए सिल्वर स्पैरो macOS मालवेयर बायनेरिज़ भेजता है, AWS और अकामाई CDN का उपयोग करता है
शोधकर्ताओं ने सिल्वर स्पैरो के संचालन को "क्लिपिंग सिल्वर स्पैरो विंग्स:आउटिंग मैकओएस मालवेयर बिफोर इट टेक" ब्लॉग पोस्ट में समझाया।
मैलवेयर का नया भाग दो बायनेरिज़ में मौजूद है, Mach-ऑब्जेक्ट प्रारूप Intel x86_64 प्रोसेसर को लक्षित करता है और Mach-O बाइनरी M1 Mac के लिए डिज़ाइन किया गया है।
macOS मैलवेयर “update.pkg” या “updater.pkg” नाम के Apple इंस्टालर पैकेज के माध्यम से इंस्टॉल किया गया है।
आर्काइव्स में जावास्क्रिप्ट कोड शामिल होता है जो इंस्टॉल स्क्रिप्ट के निष्पादित होने से पहले चलता है, उपयोगकर्ता को एक प्रोग्राम की अनुमति देने के लिए प्रेरित करता है "यह निर्धारित करें कि क्या सॉफ़्टवेयर स्थापित किया जा सकता है।"
यदि उपयोगकर्ता स्वीकार करता है, तो जावास्क्रिप्ट कोड verx.sh नामक एक स्क्रिप्ट स्थापित करता है। मालवेयरबाइट्स के अनुसार, इस बिंदु पर स्थापना प्रक्रिया को निरस्त करना व्यर्थ है क्योंकि सिस्टम पहले से ही संक्रमित है।
एक बार स्थापित होने के बाद, स्क्रिप्ट हर घंटे एक कमांड और कंट्रोल सर्वर से संपर्क करती है, कमांड या बायनेरिज़ को निष्पादित करने के लिए जाँच करती है।
कमान और नियंत्रण केंद्र Amazon Web Services (AWS) और अकामाई सामग्री वितरण नेटवर्क (CDN) के बुनियादी ढांचे पर चलता है। शोधकर्ताओं ने कहा कि क्लाउड इंफ्रास्ट्रक्चर के इस्तेमाल से वायरस को ब्लॉक करना मुश्किल हो जाता है।
आश्चर्यजनक रूप से, शोधकर्ताओं ने अंतिम पेलोड की तैनाती का पता नहीं लगाया, इस प्रकार मैलवेयर के अंतिम लक्ष्य को एक रहस्य बना दिया।
उन्होंने नोट किया कि शायद मैलवेयर कुछ शर्तों के पूरा होने की प्रतीक्षा कर रहा था। इसी तरह, यह संभवतः सुरक्षा शोधकर्ताओं द्वारा निगरानी किए जाने का पता लगा सकता है, इस प्रकार दुर्भावनापूर्ण पेलोड को तैनात करने से बचता है।
निष्पादित होने पर, इंटेल x86_64 बायनेरिज़ "हैलो वर्ल्ड" प्रिंट करते हैं जबकि मच-ओ बायनेरिज़ "यू डू इट!" प्रदर्शित करते हैं।
शोधकर्ताओं ने उन्हें "बाईस्टैंडर बायनेरिज़" नाम दिया क्योंकि उन्होंने कोई दुर्भावनापूर्ण व्यवहार प्रदर्शित नहीं किया था। इसके अतिरिक्त, macOS मालवेयर में स्वयं को हटाने के लिए एक तंत्र है, जो इसकी गुप्त क्षमताओं को जोड़ता है।
हालांकि, उन्होंने नोट किया कि किसी भी संक्रमित डिवाइस पर सेल्फ-रिमूव फीचर का इस्तेमाल कभी नहीं किया गया। मैलवेयर उस स्रोत URL की भी खोज करता है जिसे स्थापना के बाद से डाउनलोड किया गया था। उन्होंने तर्क दिया कि मैलवेयर डेवलपर ट्रैक करना चाहते हैं कि कौन सा वितरण चैनल सबसे प्रभावी था।
शोधकर्ता यह पता नहीं लगा सके कि मैलवेयर कैसे पहुंचा, लेकिन संभावित वितरण चैनलों में नकली फ्लैश अपडेट, पायरेटेड सॉफ़्टवेयर, दुर्भावनापूर्ण विज्ञापन या वैध ऐप्स शामिल हैं।
साइबर अपराधी अपने हमलों के नियमों को परिभाषित करते हैं, और यह हम पर निर्भर करता है कि हम उनकी रणनीति से बचाव करें, भले ही वे रणनीति पूरी तरह से स्पष्ट न हों। सिल्वर स्पैरो के साथ यही स्थिति है, जो नए पहचाने गए मैलवेयर macOS को लक्षित कर रहा है। वर्तमान में, यह बहुत अधिक काम नहीं करता है, लेकिन यह उन युक्तियों में अंतर्दृष्टि प्रदान कर सकता है जिनसे हमें बचाव करना चाहिए।
सिल्वर स्पैरो मैलवेयर के तकनीकी विनिर्देश
शोधकर्ताओं की जांच के अनुसार, सिल्वर स्पैरो मैलवेयर के दो संस्करण हैं, जिन्हें "संस्करण 1" और "संस्करण 2" कहा जाता है।
मैलवेयर संस्करण 1
- फ़ाइल का नाम:updater.pkg (v1 के लिए इंस्टॉलर पैकेज)
- MD5:30c9bc7d40454e501c358f77449071aa
मैलवेयर संस्करण 2
- फ़ाइल का नाम:update.pkg (v2 के लिए इंस्टॉलर पैकेज)
- MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149
डाउनलोड यूआरएल और स्क्रिप्ट टिप्पणियों में बदलाव के अलावा, दो मैलवेयर संस्करणों में केवल एक बड़ा अंतर था। पहले संस्करण में केवल Intel x86_64 आर्किटेक्चर के लिए संकलित Mach-O बाइनरी शामिल थी, जबकि दूसरे संस्करण में Intel x86_64 और M1 ARM64 आर्किटेक्चर दोनों के लिए संकलित Mach-O बाइनरी शामिल थी। यह महत्वपूर्ण है क्योंकि M1 ARM64 आर्किटेक्चर नया है और नए प्लेटफॉर्म के लिए बहुत कम खतरों का पता चला है।
मच-ओ संकलित बायनेरिज़ कुछ भी नहीं कर रहे हैं, इसलिए उन्हें "बायस्टैंडर बायनेरिज़" कहा जाता है।
सिल्वर स्पैरो कैसे वितरित किया जाता है?
रिपोर्टों के आधार पर, बहुत से macOS खतरों को दुर्भावनापूर्ण विज्ञापनों के माध्यम से PKG या DMG रूप में एकल, स्व-निहित इंस्टॉलर के रूप में वितरित किया जाता है, जो एक वैध एप्लिकेशन के रूप में-जैसे Adobe Flash Player- या अपडेट के रूप में होता है। इस मामले में, हालांकि, हमलावरों ने मैलवेयर को दो अलग-अलग पैकेजों में वितरित किया:updater.pkg और update.pkg। दोनों संस्करण निष्पादित करने के लिए समान तकनीकों का उपयोग करते हैं, केवल बाईस्टैंडर बाइनरी के संकलन में भिन्नता है।
सिल्वर स्पैरो के बारे में एक अनूठी बात यह है कि इसके इंस्टॉलर पैकेज संदिग्ध कमांड को निष्पादित करने के लिए macOS इंस्टालर जावास्क्रिप्ट एपीआई का लाभ उठाते हैं। जबकि कुछ वैध सॉफ्टवेयर भी ऐसा कर रहे हैं, यह पहली बार मैलवेयर द्वारा किया गया है। यह व्यवहार से एक विचलन है जिसे हम आमतौर पर दुर्भावनापूर्ण macOS इंस्टालर में देखते हैं, जो आमतौर पर कमांड को निष्पादित करने के लिए प्रीइंस्टॉल या पोस्टइंस्टॉल स्क्रिप्ट का उपयोग करते हैं। प्रीइंस्टॉल और पोस्टइंस्टॉल मामलों में, इंस्टॉलेशन एक विशेष टेलीमेट्री पैटर्न उत्पन्न करता है जो निम्न जैसा दिखता है:
- अभिभावक प्रक्रिया:package_script_service
- प्रक्रिया:बैश, zsh, श, पायथन, या कोई अन्य दुभाषिया
- कमांड लाइन:इसमें प्रीइंस्टॉल या पोस्टइंस्टॉल शामिल है
यह टेलीमेट्री पैटर्न अपने आप में दुर्भावना का विशेष रूप से उच्च-निष्ठा संकेतक नहीं है क्योंकि वैध सॉफ़्टवेयर भी स्क्रिप्ट का उपयोग करता है, लेकिन यह सामान्य रूप से प्रीइंस्टॉल और पोस्टइंस्टॉल स्क्रिप्ट का उपयोग करके इंस्टॉलर की मज़बूती से पहचान करता है। सिल्वर स्पैरो, पैकेज फ़ाइल की डिस्ट्रीब्यूशन डेफिनिशन एक्सएमएल फ़ाइल में जावास्क्रिप्ट कमांड को शामिल करके दुर्भावनापूर्ण macOS इंस्टालर से देखने की अपेक्षा से अलग है। यह एक अलग टेलीमेट्री पैटर्न तैयार करता है:
- अभिभावक प्रक्रिया:इंस्टॉलर
- प्रक्रिया:बैश
प्रीइंस्टॉल और पोस्टइंस्टॉल स्क्रिप्ट की तरह, यह टेलीमेट्री पैटर्न अपने आप में दुर्भावनापूर्ण व्यवहार की पहचान करने के लिए पर्याप्त नहीं है। प्रीइंस्टॉल और पोस्टइंस्टॉल स्क्रिप्ट में कमांड-लाइन तर्क शामिल होते हैं जो वास्तव में निष्पादित हो रहे हैं में सुराग प्रदान करते हैं। दूसरी ओर, दुर्भावनापूर्ण जावास्क्रिप्ट कमांड वैध macOS इंस्टालर प्रक्रिया का उपयोग करके चलते हैं और इंस्टॉलेशन पैकेज की सामग्री में बहुत कम दृश्यता प्रदान करते हैं या वह पैकेज जावास्क्रिप्ट कमांड का उपयोग कैसे करता है।
हम जानते हैं कि मैलवेयर को Apple इंस्टालर पैकेज (.pkg फ़ाइलें) के माध्यम से स्थापित किया गया था जिसका नाम update.pkg या updater.pkg है। हालांकि, हम नहीं जानते कि ये फ़ाइलें उपयोगकर्ता तक कैसे पहुंचाई गईं।
इन .pkg फाइलों में जावास्क्रिप्ट कोड शामिल था, इस तरह से कि कोड शुरुआत में ही चलेगा, इससे पहले कि इंस्टॉलेशन वास्तव में शुरू हो जाए। तब उपयोगकर्ता से पूछा जाएगा कि क्या वे "यह निर्धारित करने के लिए कि सॉफ़्टवेयर स्थापित किया जा सकता है" किसी प्रोग्राम को चलाने की अनुमति देना चाहते हैं।
सिल्वर स्पैरो का इंस्टॉलर उपयोगकर्ता को बता रहा है:
“यह पैकेज यह निर्धारित करने के लिए एक प्रोग्राम चलाएगा कि सॉफ़्टवेयर स्थापित किया जा सकता है या नहीं।”
इसका मतलब यह है कि, यदि आप जारी रखें पर क्लिक करते हैं, लेकिन फिर इसके बारे में बेहतर सोचते हैं और इंस्टॉलर को छोड़ देते हैं, तो बहुत देर हो चुकी होगी। आप पहले ही संक्रमित हो चुके होंगे।
दुर्भावनापूर्ण गतिविधि का एक अन्य संकेत आपके मैक पर लॉन्चएजेंट बनाने वाली प्लिस्टबड्डी प्रक्रिया थी।
LaunchAgents समय-समय पर या स्वचालित रूप से कार्यों को निष्पादित करने के लिए, macOS आरंभीकरण प्रणाली को लॉन्च करने का निर्देश देने का एक तरीका प्रदान करते हैं। उन्हें किसी भी उपयोगकर्ता द्वारा एंडपॉइंट पर लिखा जा सकता है, लेकिन वे आमतौर पर उन्हें लिखने वाले उपयोगकर्ता के रूप में भी निष्पादित करेंगे।
macOS पर प्रॉपर्टी लिस्ट (प्लिस्ट) बनाने के कई तरीके हैं, और कभी-कभी हैकर्स अपनी जरूरतों को पूरा करने के लिए अलग-अलग तरीकों का इस्तेमाल करते हैं। ऐसा ही एक तरीका है प्लिस्टबड्डी के माध्यम से, एक अंतर्निहित उपकरण जो आपको लॉन्चएजेंट सहित समापन बिंदु पर विभिन्न संपत्ति सूचियां बनाने की अनुमति देता है। कभी-कभी हैकर्स दृढ़ता स्थापित करने के लिए प्लिस्टबड्डी की ओर रुख करते हैं, और ऐसा करने से रक्षकों को ईडीआर का उपयोग करके लॉन्चएजेंट की सामग्री का आसानी से निरीक्षण करने में सक्षम बनाता है क्योंकि फ़ाइल के सभी गुण लिखने से पहले कमांड लाइन पर दिखाए जाते हैं।
सिल्वर स्पैरो के मामले में, ये प्लिस्ट की सामग्री लिखने वाले आदेश हैं:
- PlistBuddy -c "जोड़ें:लेबल स्ट्रिंग init_verx" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c “जोड़ें :RunAtLoad bool true” ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "जोड़ें :StartInterval पूर्णांक 3600" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "जोड़ें :ProgramArguments array" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "जोड़ें :ProgramArguments:0 string '/bin/sh'" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "जोड़ें :ProgramArguments:1 string -c" ~/Library/Launchagents/init_verx.plist
लॉन्चएजेंट प्लिस्ट एक्सएमएल निम्न के जैसा होगा:
लेबल
init_verx
RunAtLoad
सच
प्रारंभ अंतराल
3600
कार्यक्रम तर्क
'/bin/sh'
-सी
“~/लाइब्रेरी/एप्लिकेशन\\ सपोर्ट/verx_updater/verx.sh” [टाइमस्टैम्प] [प्लिस्ट से डाउनलोड किया गया डेटा]
सिल्वर स्पैरो में एक फ़ाइल जाँच भी शामिल है जो डिस्क पर ~/Library/._insu की उपस्थिति की जाँच करके सभी दृढ़ता तंत्र और स्क्रिप्ट को हटाने का कारण बनती है। यदि फ़ाइल मौजूद है, तो सिल्वर स्पैरो अपने सभी घटकों को समापन बिंदु से हटा देता है। मालवेयरबाइट्स (d41d8cd98f00b204e9800998ecf8427e) से रिपोर्ट किए गए हैश ने संकेत दिया कि ._insu फ़ाइल खाली थी।
if [-f ~/Library/._insu ]
फिर
rm ~/Library/Launchagents/verx.plist
rm ~/Library/Launchagents/init_verx.plist
rm /tmp/version.json
rm /tmp/version.plist
rm /tmp/verx
आरएम-आर ~/लाइब्रेरी/एप्लिकेशन\\ सपोर्ट/verx_updater
आरएम /tmp/agent.sh
लॉन्चक्टल निकालें init_verx
स्थापना के अंत में, सिल्वर स्पैरो कर्ल HTTP POST अनुरोध के लिए डेटा बनाने के लिए दो डिस्कवरी कमांड निष्पादित करता है जो दर्शाता है कि इंस्टॉलेशन हुआ। एक रिपोर्टिंग के लिए सिस्टम UUID को पुनः प्राप्त करता है, और दूसरा मूल पैकेज फ़ाइल को डाउनलोड करने के लिए उपयोग किए गए URL को ढूंढता है।
sqlite3 क्वेरी निष्पादित करके, मैलवेयर PKG द्वारा डाउनलोड किए गए मूल URL को ढूंढता है, जिससे साइबर अपराधियों को सफल वितरण चैनलों का एक विचार मिलता है। हम आम तौर पर macOS पर दुर्भावनापूर्ण एडवेयर के साथ इस तरह की गतिविधि देखते हैं:sqlite3 sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'LSQuarantineDataURLString को LSQuarantineEvent से चुनें, जहां LSQuarantineDataURLString जैसे LSQuarantine'
Mac से सिल्वर स्पैरो मैलवेयर कैसे निकालें
Apple ने सिल्वर स्पैरो मैलवेयर को स्थापित करने में सक्षम बनाने वाले डेवलपर प्रमाणपत्रों को ओवरराइड करने के लिए तुरंत कदम उठाए। इसलिए आगे की स्थापना अब संभव नहीं होनी चाहिए।
Apple के ग्राहक आमतौर पर मैलवेयर से सुरक्षित रहते हैं क्योंकि मैक ऐप स्टोर के बाहर डाउनलोड किए गए सभी सॉफ़्टवेयर को नोटरीकृत करना आवश्यक है। इस मामले में ऐसा लगता है कि मैलवेयर लेखक एक प्रमाणपत्र प्राप्त करने में सक्षम थे जिसका उपयोग पैकेज पर हस्ताक्षर करने के लिए किया गया था।
इस प्रमाणपत्र के बिना मैलवेयर अब और कंप्यूटरों को संक्रमित नहीं कर सकता है।
सिल्वर स्पैरो का पता लगाने का एक और तरीका यह है कि आप सिल्वर स्पैरो संक्रमण से निपट रहे हैं या कुछ और यह पुष्टि करने के लिए संकेतकों की उपस्थिति की खोज कर रहे हैं:
- एक ऐसी प्रक्रिया की तलाश करें जो प्लिस्टबड्डी को एक कमांड लाइन के संयोजन के साथ निष्पादित करती प्रतीत होती है जिसमें निम्नलिखित शामिल हैं:लॉन्चएजेंट और रनएटलोड और सत्य। यह विश्लेषणात्मक कई macOS मैलवेयर परिवारों को खोजने में मदद करता है जो LaunchAgent दृढ़ता स्थापित करते हैं।
- एक ऐसी प्रक्रिया की तलाश करें जो sqlite3 को एक कमांड लाइन के साथ क्रियान्वित करती हुई प्रतीत होती है जिसमें शामिल है:LSQuarantine। यह एनालिटिक डाउनलोड की गई फ़ाइलों के लिए मेटाडेटा में हेर-फेर या खोज करने वाले कई macOS मैलवेयर परिवारों को खोजने में मदद करता है।
- एक ऐसी प्रक्रिया की तलाश करें जो एक कमांड लाइन के साथ संयोजन के रूप में कर्ल को क्रियान्वित करती प्रतीत हो:s3.amazonaws.com। यह विश्लेषणात्मक वितरण के लिए S3 बकेट का उपयोग करके कई macOS मैलवेयर परिवारों को खोजने में मदद करता है।
इन फ़ाइलों की उपस्थिति यह भी इंगित करती है कि आपके डिवाइस के साथ सिल्वर स्पैरो मैलवेयर के संस्करण 1 या संस्करण 2 के साथ समझौता किया गया है:
- ~/Library/._insu (खाली फ़ाइल जिसका इस्तेमाल मैलवेयर को खुद को मिटाने का संकेत देने के लिए किया जाता है)
- /tmp/agent.sh (स्थापना कॉलबैक के लिए निष्पादित शेल स्क्रिप्ट)
- /tmp/version.json (निष्पादन प्रवाह निर्धारित करने के लिए S3 से डाउनलोड की गई फ़ाइल)
- /tmp/version.plist (संस्करण.json एक संपत्ति सूची में परिवर्तित)
मैलवेयर संस्करण 1 के लिए:
- फ़ाइल का नाम:updater.pkg (v1 के लिए इंस्टॉलर पैकेज) या अपडेटर (v1 पैकेज में बाईस्टैंडर Mach-O Intel बाइनरी)
- MD5:30c9bc7d40454e501c358f77449071aa या c668003c9c5b1689ba47a431512b03cc
- s3.amazonaws[.]com (V1 के लिए S3 बकेट होल्डिंग वर्जन.json)
- ~/Library/Application Support/agent_updater/agent.sh (v1 स्क्रिप्ट जो हर घंटे निष्पादित होती है)
- /tmp/agent (वितरित होने पर अंतिम v1 पेलोड वाली फ़ाइल)
- ~/Library/Launchagents/agent.plist (v1 दृढ़ता तंत्र)
- ~/Library/Launchagents/init_agent.plist (v1 दृढ़ता तंत्र)
- डेवलपर आईडी Saotia Seay (5834W6MYX3) - v1 बायस्टैंडर बाइनरी सिग्नेचर Apple द्वारा निरस्त किया गया
मैलवेयर संस्करण 2 के लिए:
- फ़ाइल का नाम:update.pkg (v2 के लिए इंस्टॉलर पैकेज) या tasker.app/Contents/MacOS/tasker (बाईस्टैंडर Mach-O Intel और M1 बाइनरी v2 में)
- MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149 या b370191228fef82635e39a137be470af
- s3.amazonaws[.]com (V2 के लिए S3 बकेट होल्डिंग वर्जन.json)
- ~/लाइब्रेरी/एप्लिकेशन सपोर्ट/verx_updater/verx.sh (v2 स्क्रिप्ट जो हर घंटे निष्पादित होती है)
- /tmp/verx (वितरित होने पर अंतिम v2 पेलोड वाली फ़ाइल)
- ~/Library/Launchagents/verx.plist (v2 दृढ़ता तंत्र)
- ~/Library/Launchagents/init_verx.plist (v2 दृढ़ता तंत्र)
- डेवलपर आईडी जूली विली (MSZ3ZH74RK) - v2 बायस्टैंडर बाइनरी सिग्नेचर Apple द्वारा निरस्त किया गया
सिल्वर स्पैरो मैलवेयर हटाने के लिए, आप ये कदम उठा सकते हैं:
<एच3>1. एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करके स्कैन करें।आपके कंप्यूटर पर मैलवेयर के खिलाफ सबसे अच्छा बचाव हमेशा एक विश्वसनीय एंटी-मैलवेयर सॉफ़्टवेयर होगा जैसे कि आउटबाइट एवर्मोर। इसका कारण सरल है, एक एंटी-मैलवेयर सॉफ़्टवेयर आपके पूरे कंप्यूटर को स्कैन करता है, किसी भी संदिग्ध प्रोग्राम का पता लगाता है और उसे हटा देता है, चाहे वे कितने भी छिपे हुए हों। मैलवेयर को मैन्युअल रूप से हटाने से काम हो सकता है, लेकिन इस बात की संभावना हमेशा बनी रहती है कि आप कुछ याद कर सकते हैं। एक अच्छा एंटी-मैलवेयर प्रोग्राम नहीं करता है।
<एच3>2. सिल्वर स्पैरो प्रोग्राम, फाइल्स और फोल्डर को डिलीट करें।
अपने मैक पर सिल्वर स्पैरो मैलवेयर हटाने के लिए, पहले एक्टिविटी मॉनिटर पर नेविगेट करें और किसी भी संदिग्ध प्रक्रिया को बंद कर दें। अन्यथा, जब आप इसे हटाने का प्रयास करेंगे तो आपको त्रुटि संदेश प्राप्त होंगे। गतिविधि मॉनिटर पर जाने के लिए, निम्नलिखित कदम उठाएं:
- खोजकर्ता खोलें।
- एप्लिकेशन> यूटिलिटीज> एक्टिविटी मॉनिटर पर जाएं।
- गतिविधि मॉनीटर पर, चल रही प्रक्रियाओं को देखें। यदि उनमें से कोई भी संदिग्ध या अपरिचित प्रतीत होता है, तो उसे छोड़ दें। प्रक्रिया की आगे की जांच के लिए, आप इसे माउस से हाइलाइट कर सकते हैं और फ़ाइल स्थान देखने के लिए उस पर राइट-क्लिक कर सकते हैं।
आपके द्वारा किसी भी संदिग्ध प्रोग्राम को हटाने के बाद, आपको मैलवेयर से संबंधित फ़ाइलों और फ़ोल्डरों को भी हटाना होगा। निम्नलिखित कदम उठाने हैं:
- फाइंडर के गो टू फोल्डर विकल्प का उपयोग करके, /लाइब्रेरी/लॉन्चएजेंट्स फ़ोल्डर में नेविगेट करें। इस फोल्डर के अंदर, सिल्वर स्पैरो से जुड़ी किसी भी संदिग्ध फाइल को देखें। इस प्रकृति की फाइलों के उदाहरणों में "myppes.download.plist", "mykotlerino.ltvbit.plist" और "installmac.AppRemoval.plist" शामिल हैं। पहचान में सहायता के लिए, सामान्य स्ट्रिंग वाली फ़ाइलें देखें।
- /लाइब्रेरी/एप्लिकेशन समर्थन फ़ोल्डर में नेविगेट करने के लिए फ़ाइंडर का उपयोग करें। यहां, संदिग्ध फ़ाइलों की तलाश करें, विशेष रूप से उन एप्लिकेशन से संबंधित जिन्हें आपने एप्लिकेशन ऐप का उपयोग करके हटा दिया है। इन्हें हटाने से सिल्वर स्पैरो भविष्य में फिर से उभरना बंद हो जाएगा।
- /Library/LaunchDaemons फ़ोल्डर में नेविगेट करें और किसी भी संदिग्ध फ़ाइल को देखें। सिल्वर स्पैरो मैलवेयर से जुड़ी संदिग्ध फाइलों के उदाहरणों में शामिल हैं "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.audad.net-preferences.plist" और " com.avickUpd.plist"। इन फ़ाइलों को ट्रैश में ले जाएं.
अपने कंप्यूटर की हार्ड ड्राइव से मैलवेयर को मैन्युअल रूप से हटाने के बाद, आपको किसी भी शीर्ष परिणाम ब्राउज़र एक्सटेंशन की स्थापना रद्द करने की भी आवश्यकता होगी। आप जिस ब्राउज़र का उपयोग कर रहे हैं उस ब्राउज़र पर सेटिंग> एक्सटेंशन पर जाएं और ऐसे सभी एक्सटेंशन हटा दें जिनसे आप परिचित नहीं हैं। वैकल्पिक रूप से, आप अपने ब्राउज़र को डिफ़ॉल्ट पर रीसेट कर सकते हैं क्योंकि इससे कोई एक्सटेंशन भी निकल जाएगा।
सारांश
सिल्वर स्पैरो मैलवेयर रहस्यमय बना रहता है क्योंकि यह लंबे समय के बाद भी अतिरिक्त पेलोड डाउनलोड नहीं करता है। इसका मतलब यह है कि हमें इस बात का अंदाजा नहीं है कि मैलवेयर को क्या करने के लिए डिज़ाइन किया गया था, जिससे मैक उपयोगकर्ता और सुरक्षा विशेषज्ञ हैरान रह गए कि इसका क्या मतलब है। दुर्भावनापूर्ण गतिविधियों की कमी के बावजूद, मैलवेयर की उपस्थिति स्वयं संक्रमित उपकरणों के लिए खतरा बन जाती है। इसलिए, इसे तुरंत हटा दिया जाना चाहिए और इसके सभी निशान हटा दिए जाने चाहिए।