macos 中了 MAC/Agent.FD!tr.pws 木马,如何能揪出木马隐藏在哪里？

这应该是个心跳检测的 API ，说是木马有点勉强吧。

@petercui #1 那么关键来了，什么程序会异常调用去做心跳检测，实际更像是电脑上的程序访问这个连接返回 pong ，表达在线

@petercui 手动破坏一下 tasks/xxx 后面的 ID 串，服务器返回了一个 `Bad botid` 响应，感觉是 C2 服务器。

给定的 `https://dicoduweb.com/get15/update` 伪装了 404 错误，实际上只有 curl 的 User-Agent 才返回 payload 。我这里卡巴斯基已经报毒了：

```
事件: 下载被拒绝
用户: BEELZEBUL\ghost
用户类型: 发起者
应用程序名称: curl.exe
应用程序路径: C:\Program Files\Git\mingw64\bin
组件: 安全浏览
结果描述: 已阻止
类型: 木马
名称: HEUR:Trojan-PSW.OSX.Amos.ba
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: arch1
对象路径: https://dicoduweb.com/get15/update//
对象的 MD5: 00CAC0E5943AD7AA4073462D8498D1A9
原因: 专家分析
数据库发布日期: 昨天，2025/9/28 23:22:00
```

VirusTotal 上已经有人上传过样本了： https://www.virustotal.com/gui/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8 不知道是不是楼主上传的，2 小时前 (相对 9/29 0:48)。

微步沙箱我刚刚也上传了： https://s.threatbook.com/report/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8

行为带有虚拟机检测，明摆着检测 QEMU 。


Google 一下，这个家族已经活跃了有多时间了： https://www.google.com/search?q=amos%2Finfostl

这里有个详细的分析： https://www.trendmicro.com/en_gb/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

主要目标是：

* 系统配置文件信息
* 用户名和密码
* 主要各类浏览器的相关数据（包括 Cookies 等）
* 加密钱包数据
* Telegram 会话数据
* OpenVPN 配置文件
* 钥匙串数据
* Apple Notes 数据
* 来自桌面、文档、下载文件夹和其它位置的个人文档（ txt, pdf, docx, json, db, wallet, key ）

其它感染过程和具体行为 OP 请自行查看分析文章。


---

事到如今就别想着移除，直接抹了系统重装吧。密码什么的也该改改吧。顺带一提这个样本很多杀毒软件的引擎都没能检出来……

@AkaGhost #3 感谢关注回复，上面说到的 VirusTotal 和微步其实我开始就上传了，触发后就进行了网络管控，昨晚重新开机又查了一遍，大概由三部分组成/Library/launchDaemons 下的 com.finder.helper.plist ，com.finder.helper.plist 对应一个在用户根目录下的/Users/xxx/.agent 这个脚本主要用于持续以当前用户身份运行.helper 程序，.helper 已传过微步，涉及的这类文件全部删除后再未出现异常流量请求，附上.helper 程序
https://www.ilanzou.com/s/8x5NxuQ7?code=52pj

我关了 si 怕，关了防火墙，也不知道会不会中

@zz177060 #5 啥意思？你也去运行了？

关键信息不隐藏 你这行为和直接传播病毒有什么区别 总会有人好奇直接执行，然后就被感染 服了