上一篇文章我們談論了使用者常見的惡意軟體感染途徑，下面再來說一說，感染後系統做了哪些改變，如果你有這些症狀，那很可能不經意間，你已經感染了這些malware。

使用者點選和安裝惡意軟體後，後臺毫無提示的安裝了下面已發現的外掛（實際比這還多）

安裝後，出現了下面的問題：

情況1：

明明是個隱藏檔案，而且使用者沒有發出這樣的開啟需求！

看看這個應用的安裝位置：

~/Library/Application\ Support/

2，使用者去Application下是找不到這個惡意外掛的，而且Library目錄通常是隱藏的，普通使用者找不到這個應用。

3，選擇在App Store上搜索後，呼叫後根本就沒有結果

4，再看看選擇使用它自己的，using Mac File Opener 後的情況

推廣下載軟體，定向搜尋其它內容，就是這個應用的設計目的之一，

其次，網上評價該軟體藏著可以竊取使用者私人資訊，並且可以遠端控制使用者裝置的惡意程式碼。

情況2：安裝其它後臺軟體 Advanced mac cleaner 

這個應用在spotlight和Applications目錄下根本沒有，被安裝在了Application support目錄下，

這個應用還在~/Library目錄下建立了三個資料夾來儲存配置，用了不同的名稱，malwarebyte都沒有掃描出全部路徑，至於配置裡面寫了哪些內容，後續再分析。

此外還有資料夾Mac Ads Cleaner，還有 Application support下面的ErrorReporter，個別資料夾刪除了還會再次建立，懷疑後臺有相關程序沒有關閉

後臺果然有相關的程序一直在執行，所以移除的時候還得殺掉對應的程序，否則還會自動建立對應的檔案，甚至進行重啟；

最終，可以看到我們至少有6個資料夾的內容不是使用者自己想安裝的，資料夾內包含了各種配置和應用包。

不要隨意點選裡面的程式包，否則可能會執行生成對應的配置，後臺下載不明檔案。

最後，這次的這個惡意應用除了普通應用典型的安裝配置路徑外，增加了：

~/Library

~/Library/Application\ support 目錄

資料夾建立不只一個，plist檔案建立不只一個，這是與其他正常應用不同的地方。

同類型的，別人分析的情況：

https://www.intego.com/mac-security-blog/silverinstaller-uses-new-techniques-to-install-puapup/

https://www.intego.com/mac-security-blog/fake-flash-player-update-infects-mac-with-scareware/

其他型別：

偽裝型，竊取資源或者內容

https://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/

加密使用者檔案，勒索型

https://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

上面就是使用者感染後的一些表現情況，使用者在不知不覺中系統會出現一些異常，彈窗廣告，推廣，搜尋劫持，主頁被更改等異常。