Jak usunąć złośliwe oprogramowanie ZuRu z komputera Mac

Czym jest złośliwe oprogramowanie ZuRu?

ZuRu to złośliwe oprogramowanie atakujące system operacyjny macOS (Mac Operating System). Jest klasyfikowane jako backdoor – rodzaj złośliwego oprogramowania, które otwiera „tylne drzwi" do systemów w celu dalszego zakażenia, a niektóre z nich są w stanie infiltrować dodatkowe złośliwe treści.

Wiele wersji ZuRu zostało rozpowszechnionych poprzez różne kampanie, które opierały się głównie na legalnych aplikacjach, które zostały zainfekowane trojanami, oraz technikach zatruwania wyszukiwarek.

Omówienie złośliwego oprogramowania ZuRu

Pierwsza wersja ZuRu została odkryta w 2021 r. Ta wersja i kolejne wersje infiltrowały systemy jako aplikacje trojanizowane. Najnowsza wersja została wykryta w maju 2025 r. Trafiła do systemów w ramach trojanizowanego Termiusa – wieloplatformowego klienta SSH (Secure Shell Protocol).

Poniżej znajduje się przegląd łańcucha infekcji i możliwości najnowszej wersji ZuRu. Złośliwe oprogramowanie jest kompatybilne z systemem macOS w wersji Sonoma 14.1 i nowszych. To backdoor ma wieloetapowy łańcuch infekcji. Zmodyfikowana aplikacja Termius znajduje się w pliku DMG (Apple Disk Image). Zawiera również złośliwe pliki binarne, które mają na celu dalszą infekcję. Sygnatura złośliwego programu została zmieniona, a ta, która ją zastępuje, została zaprojektowana tak, aby ominąć odpowiednie zabezpieczenia systemu macOS.

Infekcja postępuje poprzez ustanowienie modułu ładującego, zapewniającego zgodność działania zmodyfikowanej aplikacji z oczekiwaniami użytkownika, oraz poprzez pobranie implantu Khepri C2 (Khepri to baza danych dla środowisk Erlang i Elixir). Możliwości tego sygnału nawigacyjnego C2 obejmują: gromadzenie odpowiednich danych dotyczących urządzenia i systemu, przesyłanie plików, zarządzanie procesami i ich uruchamianie, a także wykonywanie poleceń.

Na uwagę zasługuje drugi etap łańcucha infekcji ZuRu, ponieważ podczas niego sprawdzane jest, czy ładunek jest obecny i spełnia wszystkie wymagania wstępne. Funkcja ta może być wykorzystywana jako środek zapobiegający manipulacjom lub mechanizm aktualizacji ładunku.

Warto wspomnieć, że złośliwe oprogramowanie zdolne do wywoływania infekcji łańcuchowych może teoretycznie infiltrować niemal każdy rodzaj złośliwego oprogramowania (np. trojany, oprogramowanie ransomware, koparki kryptowalut itp.), jednak w praktyce działa ono zazwyczaj w ramach określonych ograniczeń/specyfikacji.

Podsumowując, obecność oprogramowania takiego jak ZuRu na urządzeniach może prowadzić do infekcji systemu, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.

Przykłady złośliwego oprogramowania typu backdoor

Napisaliśmy o tysiącach złośliwych programów; NokNok, RShell i macOS.Macma to tylko kilka z naszych najnowszych artykułów na temat backdoorów dla komputerów Mac. Oprogramowanie należące do tej kategorii może powodować różnorodne infekcje — od kradzieży danych po szyfrowanie plików przez oprogramowanie ransomware.

Jednak niezależnie od sposobu działania złośliwego oprogramowania, jego obecność w systemie zagraża bezpieczeństwu urządzenia i użytkownika. Dlatego wszystkie zagrożenia należy natychmiast eliminować po ich wykryciu.

W jaki sposób ZuRu zainstalowało się na moim komputerze?

Jak opisano w powyższym artykule, najnowsza odmiana ZuRu infiltrowała systemy poprzez zainfekowaną trojanem aplikację Termius. Jest to zgodne z poprzednimi wersjami tego backdoora, w których inne legalne aplikacje również zostały zmodyfikowane w celu rozprzestrzeniania się – w tym Microsoft Remote Desktop (wersja dla komputerów Mac), Navicat i SecureCRT. Zainfekowane aplikacje były rozpowszechniane poprzez zatrucie SEO wyszukiwarki Baidu.

Jednak ZuRu może zostać dodane do innych oryginalnych programów lub rozprzestrzeniać się pod ich pozorem. Phishing i inżynieria społeczna są standardowymi metodami dystrybucji złośliwego oprogramowania.

Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez drive-by (ukryte/zwodnicze) pliki do pobrania, złośliwe reklamy, pirackie oprogramowanie/nośniki, niewiarygodne kanały pobierania (np. strony internetowe z darmowym oprogramowaniem i darmowymi serwisami hostingowymi, sieci wymiany plików P2P itp.), oszustwa internetowe, złośliwe załączniki/linki w wiadomościach spamowych i wiadomościach, nielegalne narzędzia do aktywacji programów („cracki") oraz fałszywe aktualizacje.

Ponadto niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej (np. zewnętrzne dyski twarde, pamięci USB itp.).

Jak uniknąć instalacji złośliwego oprogramowania?

Ostrożność jest niezbędna dla zapewnienia bezpieczeństwa sobie i swoim urządzeniom. Dlatego należy pobierać pliki tylko z oficjalnych i zweryfikowanych źródeł. Programy należy aktywować i aktualizować za pomocą funkcji/narzędzi dostarczanych przez legalnych producentów, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.

Ponadto zachowaj czujność podczas przeglądania Internetu, ponieważ jest on pełen zwodniczych i złośliwych treści. Ostrożnie traktuj przychodzące wiadomości e-mail i inne wiadomości; nie otwieraj załączników ani linków znajdujących się w podejrzanych wiadomościach.

Niezwykle ważne jest zainstalowanie renomowanego programu antywirusowego i jego regularne aktualizowanie. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń. Jeśli komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.

ZuRu zawierający zainfekowany trojanem instalator Termius:

Zainfekowana trojanem aplikacja Termius zawierająca ZuRu:

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest „ZuRu”?
• Usuń pliki i foldery związane z PUA z systemu OSX.

Film pokazujący, jak usunąć oprogramowanie reklamowe i porywacze przeglądarki z komputera Mac:

Usuwanie potencjalnie niechcianych aplikacji:

Usuń potencjalnie niechciane aplikacje z folderu „Aplikacje”:

Kliknij ikonę Findera. W oknie Findera wybierz „Aplikacje". W folderze aplikacji poszukaj „Termius" lub innych podejrzanych aplikacji i przeciągnij je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji powodujących wyświetlanie reklam online przeskanuj komputer Mac w poszukiwaniu pozostałych niechcianych komponentów.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem ZuRu. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Usunięcie złośliwego oprogramowania rzadko wymaga formatowania.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie ZuRu?

Zagrożenia związane z infekcją zależą od funkcji złośliwego oprogramowania i celów atakujących. ZuRu to backdoor, czyli rodzaj oprogramowania, które przygotowuje systemy do dalszej infekcji. Ogólnie rzecz biorąc, obecność takiego programu na urządzeniu może prowadzić do infekcji systemu, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.

Jaki jest cel złośliwego oprogramowania ZuRu?

Złośliwe oprogramowanie służy głównie do generowania przychodów. Jednak atakujący mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, przeprowadzania osobistych zemst, zakłócania procesów (np. stron internetowych, usług, firm itp.), angażowania się w haktywizm oraz przeprowadzania ataków motywowanych politycznie/geopolitycznie.

W jaki sposób złośliwe oprogramowanie ZuRu przeniknęło do mojego komputera?

ZuRu rozprzestrzenia się poprzez trojanizowane legalne oprogramowanie i jest dystrybuowane za pomocą SEO poisoning. Możliwe są również inne metody dystrybucji.

Najczęściej stosowane techniki rozprzestrzeniania złośliwego oprogramowania obejmują: złośliwe reklamy, spam, oszustwa internetowe, pobieranie drive-by, podejrzane kanały pobierania (np. strony internetowe z darmowym oprogramowaniem i strony internetowe stron trzecich, sieci wymiany plików peer-to-peer itp.), pirackie treści, nielegalne narzędzia do aktywacji oprogramowania („cracking”) oraz fałszywe aktualizacje. Niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i wymienne urządzenia pamięci masowej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner jest w stanie wykryć i usunąć prawie wszystkie znane infekcje złośliwym oprogramowaniem. Należy podkreślić, że wykonanie pełnego skanowania systemu ma kluczowe znaczenie, ponieważ zaawansowane programy złośliwe zazwyczaj ukrywają się głęboko w systemach.