注意防范！macOS出现新DNS恶意劫持程序

近日，macOS系统上又出现了新的恶意软件，该软件会劫持DNS并且持久感染用户系统。该恶意程序被称为OSX/MaMi，其消息最早出现在Malwarebytes论坛上，很快有黑客跟进，发现它实际上是一个DNS劫持软件，并且会通过进一步安装证书来劫持系统加密通讯。

OSX/MaMi并没有运用什么先进的技术，只是以一种简单、持久的方式改变了系统设置。通过安装根证书和劫持DNS，攻击者可以执行中间人攻击，窃取用户身份凭证、注入广告等。

另外它覆盖的范围也扩展到某些鼠标操作，比如：截屏、生成模拟鼠标操作、下载和上传文件、执行命令等，还有很多无法查明的攻击，攻击者可能使用相当低端的恶意电子邮件方式，伪造安全警报和弹出窗口。

到目前为止，杀毒软件等还不能检测OSX/MaMi。用户怎么样才知道有没有感染该恶意软件？较好的办法是检查DNS设置，如果DNS被设置为82.163.143.135和82.163.142.137，说明感染了恶意软件。

注意防范！macOS出现新DNS恶意劫持程序

另外可以检查有没有被安装恶意证书cloudguard.me，如果安装的话会看到：

注意防范！macOS出现新DNS恶意劫持程序

这类恶意劫持工具会安装其他的恶意软件，或者允许远程攻击者执行一些命令。因此，如果用户发现感染了该恶意软件，请尽快删除恶意DNS设置并且移除安装的恶意证书。

删除恶意的DNS设置：

打开系统设置，点击网络—高级—DNS，如果设备感染，就会看到恶意的DNS服务器地址82.163.143.135和82.163.142.137。选择每个地址，点击删除按钮。

移除证书：

打开Keychain Access应用，点击系统，如果系统设置(system)，如果设备感染，就会看到恶意的证书(cloudguard.me)，点击删除进行移除。