在 Google 上搜索「LOL 国服 Mac」后下载了一个 Build.zip,内含一个 .app 文件。
显示包内容后发现内部有一个编译后的 script 文件,编辑器打开并不能识别其内容。
运行 App 后会在 ~/Library/LaunchAgents 目录下添加两个文件:com.apple.Google.plist 和 com.apple.Yahoo.plist。其中第一个是真正的启动项配置,第二个其实是伪装为启动项配置的脚本文件。mac 启动后,会根据第一条配置中的内容启动第二个脚本,该脚本会不断运行 Safari 并打开一个空页面,内包含挖矿程序(有其他变种还会屏蔽用户打开 Activity Monitor),页面文件位置在 ~/Library/Safari 目录下,名称为 html.html。
@keviny-better Gist 好像没有回复通知,刚看到。
我后来也下载过你说的这个变种,用 ps 看 PID kill 掉才打开的活动监视器。之前是发现 Safari 的音响小图标在亮着,说明有音乐在播放,但是没有网页在打开,所以去 Safari 相关目录下发现了 x.x mp3.mp3 和 html.html,命名显然不是系统文件。
然后重启后也会再次启动,说明启动项中也有料,就查了一下发现了com.apple.Google.plist 和 com.apple.Yahoo.plist,其中一个后缀为 plist 但实际为二进制执行文件(正常 plist Xcode 是可以打开的),另外一个是启动项来执行这个二进制,删除之后就好了。
厉害了,我的电脑发热厉害,活动监视器打不开,找原因说把这两个文件删除,删除重启之后,果然活动监视器可以打开了,而且发热也正常了
今天在htop上看到这个com.apple.Yahoo.plist觉得很奇怪说我从没用过雅虎家的东西啊。file命令发现这plist居然是个已经编译过的Apple script的可执行文件!顿时就感觉不妙慌张了。然后搜一下搜到这里,想起来我确实曾经寻找过LOL国服Mac版,也下载了那个Build.zip。后来无果还是下了美服。就是从那时候开始打不开活动监视器,我还以为是Mac出了什么问题,后来实在打不开就一直用htop来监视进程。几个星期了,我才终于察觉不对劲的地方。删除那两个文件之后,活动监视器可以打开了,发热也正常了。感谢老哥,为表谢意给个star!
我当时感觉发热异常,用htop看了后台后就直接把那个plist给删了,不过我没有安装那个build.zip,可能是中了某个破解软件的招
老哥厉害呀,我也中招了。
在百度里搜到删除com.apple.Yahoo.plist 解决了
后来心理不放心,Google一下com.apple.Yahoo.plist 看到了你的帖子
我中的还就是拿个变种,不让打开活动监视器。
请教下是怎么找到它生成的位置的呢?