很久沒來記錄工作的點點滴滴了，趁這周有空，整理了下前期梳理的某些方面問題的處理和解決辦法。

前段時間，很多使用者反饋感染了malware，Adware，惡意外掛之類的，苦於缺少環境，沒有真實環境，缺少可靠資訊等現實問題，這邊根據使用者提供的關鍵資訊，模擬了下感染過程。 

本文topic是：e.tre456_worm_osx & AppleCareProtection Plan問題被感染的過程

1，使用者瀏覽到不明來源的資訊或者點選不明連結後，會出現如下情況：

（1）提示Adobe flash更新情況

如果稍微仔細點，可以看出根本就不是官方的連結，點選了後面很有可能被安裝偽裝外掛，但使用者卻不知道

點選就會被下載不明軟體

（2）偽裝flash更新情況

下載安裝，就中招了，其實安裝過程也可以發現問題

後臺還不停下載其他外掛，使用者看到的閃屏，Safari異常等出現

後臺不停下載軟體，被安裝，

安裝過程中，抓取到的一些異常下載

http://cdn.simplyeapps.com/screens/precheck/DmFybQ==

http://fpdownload.adobe.com/get/flashplayer/pdc/26.0.0.137/

http://dl.simplyeapps.com/download/854d4bf9-2878-492a-985a-c585765befb9

http://cdn.simplyeapps.com/screens/complete/DmFybQ==

http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=26.0.0.137&lang=en&cpuWordLength=64&cpuArch=x86_64

http://install.mughthesec.com/lg

http://api.mughthesec.com/ai

http://install.mughthesec.com/lg

http://api.mughthesec.com/l

http://sr.symcd.com/MFYwVKADAgEAME0wSzBJMAkGBSsOAwIaBQAEFHQkFGcGn%2FXgmD9ePhproGUqVBV1BBQBWavn3ToLWaZkY9bPIAdX1ZHnagIQL5FAPdYYNkYWK73FAAN84A%3D%3D

http://ocsp.apple.com/ocsp-devid02/ME4wTKADAgEAMEUwQzBBMAkGBSsOAwIaBQAEFDOB0e%2FbaLCFIU0u76%2BMSmlkPCpsBBRXF%2B2iz9x8mKEQ4Py%2Bhy0s8uMXVAIIJ5xWXkLVr%2Bc%3D

http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml26.0.0.137~installVector=1&os=mac&osVer=10.10.5&playerType=pl&previousVersion=0.0.0.0&lang=en&cpuWordLength=64&cpuArch=x86_64

安裝了booking，AdobeAAMDetect.plugin等應用。

暫時還不清楚上面的下載是幹什麼，有什麼用處。反正最後，就是在一些你不清楚的檔案目錄給你安裝了一些惡意劫持的軟體、外掛。

（3） 訪問到不明頁面，被恐嚇，還冒充蘋果的官網，實際上還是誘導使用者賣軟體！

一個假的掃描動作，然後告訴你感染很厲害，很嚴重。多執行幾次，結果都不一樣，可以看出是個假的。

實際上是某個不知廉恥的公司在賣軟體！

其它避免方法：

1）安全中，關閉安裝任意來源的軟體，可以較好的避免應用後臺隨意安裝；

2）授權時要看清楚；

3）不明連結的不點選，及時離開。