Mac OS X: 再续〉安全警告，病毒就在你身边

1. 沉重

这次心情很沉重！因为这个间谍软件居然和咱们中国又有着联系！联想到前些日子的Goolge对中国说不做恶，指责中国如何如何的，这些就不重复了，结果是那些外国老大粗门都认为中国人会做病毒，会通过木马盗取他们的私人信息，还有专门的黑客学校，甚至认为病毒都是中国造的等等，而这些意味着什么吗？意味着在他们眼里中国人就是evil. 因为他们大多数都是粗人，脑子直，听风就是雨，而且粪青情节很重，对他们解释什么都没有用，他们一方面绝对信任自己的媒体，一方面要把自己平时不满的发泄找到出路。很不幸，中国人成为了他们又一个发泄对象。

这些就不多说了，回归本题，这里之所以说：和咱们中国又有着联系，也就是我不想妄加定论，虽然通过下面的技术分析的确是和杭州的一个服务器有关，但是我宁愿相信那是一个肉鸡，其实直接指向自己的服务器的做法，无疑是愚蠢的，自投罗网。如果真是肉鸡，那么大家真的要对电脑和网络安全增加重视，增强防范意识和措施，否则真成了被人卖了还替人数钱的傻瓜了。中国人都不傻，可能有的人被眼前的金钱诱惑，就把自己卖了。我说，下次把自己卖个好价钱，至少两辈子不用发愁吃穿住行，好不好？！

2. 技术

上面都是感慨，不愿听愿意看技术的请从这里开始：

首先说说如何比较彻底地移除这个间谍软件，执行下面的命令就可以了：

sudo launchctl unload -w /Library/LaunchDaemons/PremierOpinion.plist sudo rm /private/tmp/poinstaller sudo rm /private/tmp/script.sh sudo rm -rf /private/tmp/installtmp sudo rm -rf /private/tmp/autoupgrade sudo rm -rf /private/tmp/tapinstaller sudo rm -rf /Applications/PremierOpinion sudo rm /private/var/db/.AccessibilityAPIEnabled

下面说是如何查找来龙去脉的

下载MishInc FLV To MP3 converter是一个.jar文件，unpack安装后，有一个同意条款页就是那个Premier * Opinion的，一旦你同意，它会生成下面两个文件/private/tmp : script.sh和一个可执行文件 poinstaller, 一旦你连接上网，它会下载两个目录 installtmp and tapinstaller，每个目录都保存有相同的内容 PremierOpinion , installtmp 里有一个不同文件大小的poinstaller和 tapinstaller，包括 upgrade.xml文件，这个文件指向服务器 post.securestudies.com 的 rule14.xml 文件，而这个文件指向 PremierOpinion.zip 文件，这个就是最新的间谍软件的下载。

如果仔细查看poinstaller，它里面还包括这个网站it.kingroutecn.com，同样是rule14.xml文件，里面却指向另外一个网占 PermissionResearch。而无论 Permission Research 还是 Premier Opinion ，都在 ComScore 公司的地址范围内, 而且是同一个公司。这个可以通过whois来确认如下：

Registrant: TMRG, INC. 11950 Democracy Dr. Suite 600 Reston, VA 20190 US Domain Name: SECURESTUDIES.COM Administrative Contact, Technical Contact: Administrator, Domain TMRG, INC. 11950 Democracy Dr. Suite 600 Reston, VA 20190 US 703-438-2000 fax: 512-727-3144 Record expires on 17-Aug-2010. Record created on 17-Aug-2005. Domain servers in listed order: DNS01.IAD.COMSCORE.COM 66.119.41.13 DNS01.ORD.COMSCORE.COM 4.79.208.231 DNS02.IAD.COMSCORE.COM 66.119.41.25 DNS02.ORD.COMSCORE.COM 4.79.208.232

重点在这里而it.kingroutecn.com网站的地址是 218.108.8.85(不要使用ping,而是dig或者Windows的nslookup) , kingroutecn.com域名是通过美国的一个域名公司 bluehost.com 注册的， 反向查找它指向hidden-master.hzman.net服务器，再查找地址可以找到下面信息，其中明确指出，地址公司联系人等等 ，如果谁可以联系到这家公司，请他们注意安全。

218.108.8.85 is from China(CN) in region Southern and Eastern Asia Whois query for 218.108.8.85... Results returned from whois.arin.net: OrgName: Asia Pacific Network Information Centre OrgID: APNIC Address: PO Box 2131 City: Milton StateProv: QLD PostalCode: 4064 Country: AU ReferralServer: whois://whois.apnic.net NetRange: 218.0.0.0 - 218.255.255.255 CIDR: 218.0.0.0/8 NetName: APNIC4 NetHandle: NET-218-0-0-0-1 Parent: NetType: Allocated to APNIC NameServer: NS1.APNIC.NET NameServer: NS3.APNIC.NET NameServer: NS4.APNIC.NET NameServer: NS-SEC.RIPE.NET NameServer: TINNIE.ARIN.NET Comment: This IP address range is not registered in the ARIN database. Comment: For details, refer to the APNIC Whois Database via Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry Comment: for the Asia Pacific region. APNIC does not operate networks Comment: using this IP address range and is not able to investigate Comment: spam or abuse reports relating to these addresses. For more Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming RegDate: 2000-12-07 Updated: 2009-10-08 OrgTechHandle: AWC12-ARIN OrgTechName: APNIC Whois Contact OrgTechPhone: +61 7 3858 3188 OrgTechEmail: search-apnic-not-arin@apnic.net # ARIN WHOIS database, last updated 2010-06-03 20:00 # Enter ? for additional hints on searching ARIN's WHOIS database. # # ARIN WHOIS data and services are subject to the Terms of Use # available at https://www.arin.net/whois_tou.html Results returned from whois.apnic.net: % [whois.apnic.net node-2] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 218.108.0.0 - 218.109.255.255 netname: WASU descr: WASU TV & Communication Holding Co.,Ltd. descr: 6/F, Jian Gong Building, NO.20 Wen San Road, Hangzhou, descr: Zhejiang province, P.R.China 310012 country: CN admin-c: XZ1291-AP tech-c: TF142-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-routes: MAINT-CNNIC-AP changed: hm-changed@apnic.net 20080123 source: APNIC person: Xianlong Zeng nic-hdl: XZ1291-AP e-mail: allon@chinahcn.com address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province phone: +86-0571-28958852 fax-no: +86-0571-85214455 country: CN changed: ipas@cnnic.cn 20071123 mnt-by: MAINT-CNNIC-AP source: APNIC person: Tao Feng nic-hdl: TF142-AP e-mail: fengtao@chinahcn.com address: No.9 ShuGuang Road,HangZhou City,ZheJiang Province phone: +86-0571-28958888-8108 fax-no: +86-0571-85214455 country: CN changed: ipas@cnnic.cn 20100513 mnt-by: MAINT-CNNIC-AP source: APNIC

网络安全不是不丢孩子，搞不好会丢人。

Tony Liu, June 3, 2010深夜12:59am