Mac病毒清除过程, SimulatorTrampoline,提醒事项APP伪装 XcodeGhost,XCSSET类型

由来:

用MAC以来还从来没碰到过病毒,没想到中招了,前后重装了3,4次.每次不久还是复现.最终排查发现病毒是iOS项目配置文件里被注入了病毒脚本.

该病毒专门针对iOS开发者

病毒现象:

会自动生成伪装的系统应用,比如提醒事项,SimulatorTrampoline,Safari浏览器等,弹框申请权限,删除无用,会重复生成更多.伪装的Safari没有收藏的网页

病毒脚本:

在项目 project.pbxproj 文件中, 病毒会注入类似下面的脚本, 并且脚本会不断更新.

并且通过项目提交到仓库, 使用编译该项目即会中招

解决:

已感染电脑暂时没有好的清除方法, 只能恢复出厂重装. 已尝试杀毒, 删除伪装APP均无法根除, 如果有好的根除方法麻烦文章下面留言.

清除项目病毒脚本:

用文本编辑器打开project.pbxproj , 找到 "buildSettings"那块, 如果有像上图那种echo 了编码过的脚本, 那就是中毒了, 上面必然会有shellScript 执行这段脚本. 这两块需要一起删掉, 并更新仓库.

注意最好不要用中毒的电脑提交代码到仓库, 可能会出现,一边删它一边加

重装后更新仓库代码, 正常

发现一篇对这个病毒研究很深入的文章, 里面有清除方法,不过是24年的,不知道病毒可能有没有升级,可以借鉴一下:

https://www.jianshu.com/p/2177cb2bd04c