Mój ojciec żałował, że losowe reklamy pojawią się nawet przy adblocku i podczas przeglądania zaufanych stron internetowych i jak Firefox był zawsze uruchomiony przy starcie na jego komputerze OSX (z wszystkimi aktualizacjami oprogramowania poprawnie) od dnia, w którym go zainstalował.
Naturalnie sprawdziłem System Preferences > Users Accounts > Login items
i na ikonie dokowania Firefox Firefox > Open at login
. Nic tam nie było ...
Więc przeprowadziłem się do ~/Library/LaunchAgents
gdzie ku mojemu zdziwieniu znalazłem wiele plików wskazujących na oczywiste wirusy. Na przykład nazwano jeden plik com.apple.roinnris.plist
i wskazywał na plik wykonywalny, który w oknie terminala zachowywał się tak:
Last login: Mon Jun 26 18:36:28 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/roinnris ; exit;
1.3.4: Initializing... roinnris
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_5a01fc
snowbitt
_Bt3mBZUrWFiQtw-o265327tVlFLedwV5m3RbDQqoTNF34tnUYs4T2-Z-0Vh_ot2iQz9QcQstVbDfh_GhqMjQkak68EeUespftvJPjZ5LY1FbyK8tuMM
nth
convertFile - /Users/gianni/Library/backup.zip to /Users/gianni/Library/backup.tmp
Ping-"http://t.trkitok.com/track/surl?mid=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&ht=???ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ڌ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ތ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ٌ???ϗ?????˚??ɠ???????ޠ??ޙ??????????݇Ř???????????????Ǚ????????왞????ٞ??????????ޘ??Г??????????????????????????????????????????????? ?&nt=&su="
Oto kolejny:
Last login: Mon Jun 26 18:28:48 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/sfhucvkzeooa/sfhucvkzeooa ; exit;
2017-06-26 18:33:10.535 sfhucvkzeooa[10383:98510] http://i.firstinstallmac.club/c/cc?id=
/bin/sh: line 50: /Library/pfutil: Permission denied
I jeszcze jeden (który pierwotnie był w Bibliotece, ale przeniosłem się na pulpit):
Last login: Mon Jun 26 18:33:10 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Desktop/VirusReportStackExchange/jaLeQGoJ/jaLeQGoJ.app/Contents/MacOS/jaLeQGoJ ; exit;
2017-06-26 18:34:37.327 jaLeQGoJ[12743:122843] Found it
I jeszcze jeden z komunikatami o błędach w głównym języku użytkownika (włoski):
Last login: Mon Jun 26 18:34:36 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/subtlist/subtlist ; exit;
2017-06-26 18:35:08.919 subtlist[13656:131528] gianni
2017-06-26 18:35:08.920 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M D"1!$<*<!,8#6+'=*&<$D"?28?&<!!$9$
2017-06-26 18:35:08.921 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M D"1!$<*<!,8#6+'=*&<$UD"?28?&<%6%?&07.M
N('**-,0*'5&&!'6_
N0>*<!,*,<7'.M
N('**-,!.8)6= .6_
N('**-,'"&<*'2&;$_"52 ?4;07.MN('**-,'*,&07.MN('**-, >)&07.M
V"52 ?4<+!<96_N0'8*',-*5512( $
2017-06-26 18:35:08.921 subtlist[13656:131528] (#-.<=,7$&80=.
2017-06-26 18:35:08.921 subtlist[13656:131528] (>*(10=6"/$
2017-06-26 18:35:08.921 subtlist[13656:131528] (#*9-76!($7?:46
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&&!'6
2017-06-26 18:35:08.921 subtlist[13656:131528] (19$.*6!4816!'%*4<.
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&24.%-$
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&6%.%-&:76
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&02''&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&!68;67 66
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&& .9&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&1:/6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&'2,40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-& &)40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&':&.*-2>;6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&6!9$+$
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&52'';8086
2017-06-26 18:35:08.922 subtlist[13656:131528] (&*4,+?.
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.924 subtlist[13656:131528] Invalid chrome version
2017-06-26 18:35:08.929 subtlist[13656:131528] 5a01fca9-d552-45e9-a47c-f34d2a14e626
2017-06-26 18:35:08.958 subtlist[13656:131528] C26849F2-0F50-5495-9FBB-9269DCE9EDA1
2017-06-26 18:35:08.958 subtlist[13656:131528] upd
2017-06-26 18:35:08.958 subtlist[13656:131528] 'http://www.google.com'
2017-06-26 18:35:08.958 subtlist[13656:131528] 99999999
2017-06-26 18:35:08.958 subtlist[13656:131528] http://loadingpages.me/jo/is?id=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&d=5a01fca9-d552-45e9-a47c-f34d2a14e626&cl=upd
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
Następnie przeniosłem się do głównej biblioteki (nie użytkownika) pod adresem /Library/LaunchAgents
i /Library/LaunchDaemon
gdzie było więcej takich plików plist wskazujących na szkicowe pliki wykonywalne, z których jeden wyraźnie włączał Firefoksa i próbował skompresować i ukraść folder z niego ApplicationSupport
przestrzeń.
Wybuchnąłem zawartość wszystkich tych folderów i poleciłem, aby nigdy nie używać komputera do bankowości, dopóki nie zostanie wykonane pełne wymazanie.
Wszystkie te pliki miały co najmniej 1 miesiąc.
Moje pytania to:
Czy te wirusy są już znane Apple? Jeśli tak, to gdzie mogę przeczytać więcej i dlaczego nie zostały one automatycznie usunięte z aktualizacjami zabezpieczeń? Jeśli nie, kto ma więcej informacji? Gdzie mam powiadomić Apple o ich istnieniu?