最近有一款恶意软件很火——WireLurker，它的特点很明显，只感染中国苹果用户，甚至包括未越狱用户。短短6个月以来已有近40万人感染此恶意软件，尽管苹果官方已经屏蔽了这款恶意软件，但还是多多少少在苹果用户群体中造成一定恐慌。由于很多使用苹果设备的小伙伴并不了解这个病毒，不知道如何预防，而不慎中招感染此病毒的朋友也不知道如何处理。小编今天就带大家了解这个病毒，并教大家一旦中毒该如何处理。

WireLurker到底是什么？

WireLurker是一款恶意程序，也就是我们常说的病毒或者木马。第一，它具备传播性和破坏性，第二，它可以和木马服务器通讯给感染的设备安装恶意应用。

它的发展时间轴如下：

2014-04-30出现第一版，只向服务器发送信息，没有其他行为

2014-05-07出现第二版，向服务器发送信息，向越狱的iOS设备推送恶意应用

2014-08出现第三版，与服务器用加密协议进行通信，并向所有iOS设备推送恶意应用

它是如何扩散感染的呢？WireLurker的扩散比较有特点，先感染MacOS电脑，然后通过USB感染到iOS手机上，手机只要通过USB连接到电脑，手机就会被感染。这包括越狱手机和未越狱手机：

越狱手机上会被安装恶意文件/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib

这个文件会读取用户的隐私并上传服务器，包括用户的通讯录和短信

未越狱手机会被安装通过企业版证书签名的App：

把/usr/local/machook/ipa/下面的恶意ipa安装到手机上

如何预防和处理

关于如何预防感染WireLurker，小编还是建议大家尽量不要在不信任的第三方应用平台下载应用，不要轻易使用陌生的苹果电脑连接设。如果大家想要确定自己是否感染该病毒，进入设置>通用>描述文件，查看是否有不熟悉的文件。对于iOS8用户，可以使用Xcode或者iPhoneConfigurationUtility来清除这些文件。

另外PaloAltoNetworks也为MacOSX用户推出脚本来检查设备上是否有感染该病毒，并且提供详细检测步骤。如果越狱设备感染了该病毒的话，可以使用iTools等工具来检查系统文件夹中是否存在“/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib”文件，如果存在该文件的话，就手动删除。非越狱设备需要删除可疑文件和应用即可。

当然国内杀毒厂商360第一时间也有宣布可以查杀WireLurker，但因其拥有麦芽地苹果论坛的股份而深陷自造病毒自己查杀的嫌疑之中。尽管360大义灭亲使出弃车保帅绝招，举报病毒作者，妄图撇清干系。但小编觉得这种利用制造恐慌来推广自己产品的行为未免有点卑劣，还是建议大家不要使用其产品，以免病毒越杀越多！

作者：“小编也疯狂”微信公众号ID：xiaobianyefengkuang 微博：@小编也疯狂