新型恶意软件-Mac-正对-设备部署后门-CloudMensis (新型恶意软件攻击4000家ISP)

教程大全 2025-07-09 00:48:27 浏览次

据Bleeping Computer网站7月19日消息，未知身份的攻击者正在使用以前未被检测到的恶意软件对 MacOS设备部署后门。

据悉，ESET研究人员于 2022 年 4 月首次发现这种新恶意软件，并将其命名为 CloudMensis，其主要目的是从受感染的 Mac 中收集敏感信息。该恶意软件支持数十种命令，包括屏幕截图、窃取文档、记录键盘信息等。

根据ESET的分析，攻击者在 2022 年 2 月 4 日用 CloudMensis 感染了首台 Mac，感染媒介未知。在 Mac 上部署后，CloudMensis 可以绕过 macOS Transparency Consent and Control （TCC）系统，该系统会提示用户授予应用程序截屏或监控键盘事件的权限，阻止应用程序访问敏感的用户数据，让用户能够为安装在其系统上的应用程序和连接到其 Mac 的设备（包括麦克风和摄像头）配置隐私设置。

CloudMensis 使用云存储

为了绕过TCC，CloudMensis利用了系统完整性保护（SIP）中的CoreFoundation 漏洞，该漏洞被追踪为CVE-2020–9934，已被苹果在两年前修复。当运行MacOS10.15.6 系统版本之前的Mac设备启用SIP时， CloudMensis将利用漏洞使 TCC 守护程序（tccd）加载其自身可以写入的数据库。如果在系统上禁用 SIP，CloudMensis 将通过向 TCC.db 文件添加新规则来授予自身权限。

虽然 ESET 只看到这种恶意软件在野外滥用此漏洞，但诸如此类攻击者不乏绕过 TCC 的方法，比如利用由微软发现的 powerdir 漏洞（ CVE-2021-30970 ）、CVE- 2021-30713等漏洞，从而监控受感染Mac的屏幕、扫描连接的可移动存储设备查找任意文件，并记录键盘事件。

ESET认为，利用漏洞绕过MacOS隐私保护措施的攻击行为表明，攻击者正在积极尝试最大限度地提高其攻击活动的成功率，虽然CloudMensis尚未利用0Day漏洞进行攻击，因此建议用户使用最新版的MacOS系统。

电脑上中了两个病毒文件名macnis,在电脑上也找不到，怎么也干不掉，请问高手怎么解决？

去除它的隐藏属性再用杀毒软件查杀，如果删除不掉。用下面的工具强制删除。

精选四款删除工具正常模式下无法删除的进入安全模式再删除!1:Unlocker是一个免费的右键扩充工具，当用户发现有文件或进程无法删除时，可以通过右键菜单中的“Unlocker”进行解锁，不过它并非强制关闭的程序，而是以解除进程与程序关联性的方式进行，因此不会造成数据丢失。以后当你要删除文件的时候，右键选择Unlocker 即可下载地址：超级巡警文件暴力删除工具　采用内核技术删除文件，能删除运行中文件或者被占用文件，可以用来查看文件被哪些程序占用，也可以在病毒分析中对一些顽固病毒木马衍生文件的删除。下载地址：冰刃 IceSword 1.22 中文版下载地址：这是一斩断黑手的利刃, 它适用于Windows 2000/XP/2003 操作系统, 其内部功能是十分强大, 用于查探系统中的幕后黑手-木马后门, 并作出处理. 可能您也用过很多类似功能的软件, 比如一些进程工具、端口工具, 但是现在的系统级后门功能越来越强, 一般都可轻而易举地隐藏进程、端口、注册表、文件信息, 一般的工具根本无法发现这些幕后黑手使用了大量新颖的内核技术, 使得这些后门躲无所躲. 当然使用它需要用户有一些操作系统的知识. 使用前请详细阅读说明.在对软件做讲解之前, 首先说明第一注意事项: 此程序运行时不要激活内核调试器(如softice), 否则系统可能即刻崩溃. 另外使用前请保存好您的数据, 以防万一.

4:360安全卫士---高级---高级工具集---文件粉碎机。

为什么我的无线网络老掉线？

你先查一下有没有中ARP病毒吧，凡是用这个路由的都查一下，给电脑装上金山的ARP防火墙，这个是网上评论比较好的一个ARP防火墙。不知道你的邻居是不是也会经常掉线，如果也掉线的话中ARP的可能性较大。如果确定没有中ARP病毒就把你的电脑的网卡驱动更新重装一下，因为有些版本的网卡驱动确实存在掉线的BUG，当然最好你也查一下机器里有没有中其他的恶意软件和木马。还有就是你的邻居是不是使用了类似P2P终结者之类的软件对你做了手脚，这个网上倒是也有反P2P终结者的补丁，如果是这样就要看你个人如何协调了。如果过了这些程序还是这样再考虑路由是不是有问题，不过一般讲路由出问题可能性还是很小的。