知名百科 >> AMOS 恶意软件:如何识别和防范 >> 历史版本
编辑时间历史版本内容长度图片数目录数修改原因
2023-10-01 11:10 最新历史版本 8127 1 0 修正错误
上一历史版本 |   返回词条

AMOS 恶意软件:如何识别和防范

AMOS 恶意软件:如何识别和防范这个能窃取你敏感信息的隐形威胁AMOS 是一种针对 macOS 系统的恶意软件,它可以窃取用户的敏感信息,如密码、银行账户、信用卡号等,并将其发送给远程服务器。AMOS 还可以下载和执行其他恶意代码,从而对用户的设备和数据造成更大的危害。AMOS 的传播方式主要是通过伪装成合法的应用程序或文档,诱骗用户下载和运行。本文将介绍 AMOS 的背景和目的、主要特征、行为和检测方法,并给出一些预防和清除的建议。

AMOS 恶意软件:如何识别和防范AMOS 恶意软件:如何识别和防范

AMOS 的背景和目的

AMOS 是一种由一个名为 APT28 或 Fancy Bear 的黑客组织开发和部署的恶意软件。该黑客组织被认为与俄罗斯政府有关联,曾经发动过多次针对政府、军事、媒体、教育等机构和个人的网络攻击。AMOS 的目的是为了收集用户的敏感信息,以便进行间谍活动、勒索、诈骗等犯罪行为。AMOS 也可能被用作一个跳板,为其他更高级的攻击提供入口。

AMOS 的特征

AMOS 是一种基于 Python 的恶意软件,它使用了 py2app 工具将 Python 代码打包成可执行的 macOS 应用程序。AMOS 的可执行文件通常隐藏在一个 ZIP 压缩包中,该压缩包的文件名和图标会模仿某些流行的应用程序或文档,如 Adobe Flash Player、Microsoft Word、PDF 文件等。当用户解压并双击这些文件时,AMOS 会被激活,并在后台运行。

AMOS 的运行过程分为以下几个步骤:

AMOS 会首先检查设备上是否已经存在一个名为 com.apple.questd 的进程,如果存在,则退出运行,以避免被重复感染。

AMOS 会生成一个随机的字符串作为设备的唯一标识符,并将其保存在 /Users/Shared/.log 文件中。

AMOS 会创建一个名为 com.apple.questd 的 Launch Agent,并将其保存在 /Library/LaunchAgents/ 目录下。该 Launch Agent 会在每次设备启动时自动运行 AMOS。

AMOS 会连接到一个预设的远程服务器,并发送设备的唯一标识符、操作系统版本、用户名、IP 地址等信息。

AMOS 会接收来自远程服务器的指令,并根据指令执行相应的操作。这些操作包括:

窃取用户的浏览器历史记录、Cookie、书签等数据,并将其压缩成 ZIP 文件发送给远程服务器。

窃取用户的 Keychain 中保存的密码、银行账户、信用卡号等数据,并将其加密后发送给远程服务器。

下载并执行远程服务器提供的其他恶意代码,如木马、勒索软件、挖矿软件等。

删除或修改用户的文件或系统设置,造成数据丢失或系统崩溃。

AMOS 的检测方法:

• 检查设备上是否有 /Users/Shared/.log 文件,该文件是 AMOS 保存设备唯一标识符的地方。

• 检查设备上是否有
/Library/LaunchAgents/com.apple.questd.plist 文件,该文件是 AMOS 创建的 Launch Agent。

• 检查设备上是否有名为 com.apple.questd 的进程在运行,该进程是 AMOS 的主要组件。

• 使用可靠的杀毒软件或安全工具扫描设备,查找并删除 AMOS 及其相关的文件和进程。

标签