Znaleziono stare wirusy na komputerze z systemem MacOS Sierra: co teraz zrobić?


3

Mój ojciec żałował, że losowe reklamy pojawią się nawet przy adblocku i podczas przeglądania zaufanych stron internetowych i jak Firefox był zawsze uruchomiony przy starcie na jego komputerze OSX (z wszystkimi aktualizacjami oprogramowania poprawnie) od dnia, w którym go zainstalował.

Naturalnie sprawdziłem System Preferences > Users Accounts > Login items i na ikonie dokowania Firefox Firefox > Open at login. Nic tam nie było ...

Więc przeprowadziłem się do ~/Library/LaunchAgents gdzie ku mojemu zdziwieniu znalazłem wiele plików wskazujących na oczywiste wirusy. Na przykład nazwano jeden plik com.apple.roinnris.plist i wskazywał na plik wykonywalny, który w oknie terminala zachowywał się tak:

Last login: Mon Jun 26 18:36:28 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/roinnris ; exit;
1.3.4: Initializing... roinnris
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_5a01fc
snowbitt
_Bt3mBZUrWFiQtw-o265327tVlFLedwV5m3RbDQqoTNF34tnUYs4T2-Z-0Vh_ot2iQz9QcQstVbDfh_GhqMjQkak68EeUespftvJPjZ5LY1FbyK8tuMM
nth

convertFile - /Users/gianni/Library/backup.zip to /Users/gianni/Library/backup.tmp
Ping-"http://t.trkitok.com/track/surl?mid=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&ht=???ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ڌ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ތ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ٌ???ϗ?????˚??ɠ???????ޠ??ޙ??????????݇Ř???????????????Ǚ????????왞????ٞ??????????ޘ??Г??????????????????????????????????????????????? ?&nt=&su="

Oto kolejny:

Last login: Mon Jun 26 18:28:48 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/sfhucvkzeooa/sfhucvkzeooa ; exit;
2017-06-26 18:33:10.535 sfhucvkzeooa[10383:98510] http://i.firstinstallmac.club/c/cc?id=
/bin/sh: line 50: /Library/pfutil: Permission denied

I jeszcze jeden (który pierwotnie był w Bibliotece, ale przeniosłem się na pulpit):

Last login: Mon Jun 26 18:33:10 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Desktop/VirusReportStackExchange/jaLeQGoJ/jaLeQGoJ.app/Contents/MacOS/jaLeQGoJ ; exit;
2017-06-26 18:34:37.327 jaLeQGoJ[12743:122843] Found it

I jeszcze jeden z komunikatami o błędach w głównym języku użytkownika (włoski):

Last login: Mon Jun 26 18:34:36 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/subtlist/subtlist ; exit;
2017-06-26 18:35:08.919 subtlist[13656:131528] gianni
2017-06-26 18:35:08.920 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$D"?28?&<!!$9$
2017-06-26 18:35:08.921 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$UD"?28?&<%6%?&07.M
                                                                     N('**-,0*'5&&!'6_
      N0>*<!,*,<7'.M
                    N('**-,!.8)6= .6_
N('**-,'"&<*'2&;$_"52 ?4;07.MN('**-,'*,&07.MN('**-, >)&07.M
                 V"52 ?4<+!<96_N0'8*',-*5512( $
2017-06-26 18:35:08.921 subtlist[13656:131528] (#-.<=,7$&80=.
2017-06-26 18:35:08.921 subtlist[13656:131528] (>*(10=6"/$
2017-06-26 18:35:08.921 subtlist[13656:131528] (#*9-76!($7?:46
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&&!'6
2017-06-26 18:35:08.921 subtlist[13656:131528] (19$.*6!4816!'%*4<.
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&24.%-$
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&6%.%-&:76
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&02''&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&!68;67 66
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&& .9&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&1:/6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&'2,40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-& &)40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&':&.*-2>;6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&6!9$+$
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&52'';8086
2017-06-26 18:35:08.922 subtlist[13656:131528] (&*4,+?.
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/



2017-06-26 18:35:08.924 subtlist[13656:131528] Invalid chrome version
2017-06-26 18:35:08.929 subtlist[13656:131528] 5a01fca9-d552-45e9-a47c-f34d2a14e626
2017-06-26 18:35:08.958 subtlist[13656:131528] C26849F2-0F50-5495-9FBB-9269DCE9EDA1
2017-06-26 18:35:08.958 subtlist[13656:131528] upd
2017-06-26 18:35:08.958 subtlist[13656:131528] 'http://www.google.com'
2017-06-26 18:35:08.958 subtlist[13656:131528] 99999999
2017-06-26 18:35:08.958 subtlist[13656:131528] http://loadingpages.me/jo/is?id=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&d=5a01fca9-d552-45e9-a47c-f34d2a14e626&cl=upd
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)

Następnie przeniosłem się do głównej biblioteki (nie użytkownika) pod adresem /Library/LaunchAgents i /Library/LaunchDaemon gdzie było więcej takich plików plist wskazujących na szkicowe pliki wykonywalne, z których jeden wyraźnie włączał Firefoksa i próbował skompresować i ukraść folder z niego ApplicationSupport przestrzeń.

Wybuchnąłem zawartość wszystkich tych folderów i poleciłem, aby nigdy nie używać komputera do bankowości, dopóki nie zostanie wykonane pełne wymazanie.

Wszystkie te pliki miały co najmniej 1 miesiąc.

Moje pytania to:

Czy te wirusy są już znane Apple? Jeśli tak, to gdzie mogę przeczytać więcej i dlaczego nie zostały one automatycznie usunięte z aktualizacjami zabezpieczeń? Jeśli nie, kto ma więcej informacji? Gdzie mam powiadomić Apple o ich istnieniu?


Które z wielu pytań chcesz zaatakować jako pierwsze? To brzmi bardziej jak zaangażowanie konsultingowe. Świetna praca nad szczegółami - to pomoże, gdy już zrozumiemy, który z wielu tematów zacząć. Po uzyskaniu odpowiedzi na pierwsze pytanie możemy zastanowić się nad pytaniami uzupełniającymi.
bmike

Dodaj wersję systemu! Ponadto: złośliwe pliki są nie miał być wykonany w sposób samobójczy! Możesz to zrobić w chronionej maszynie wirtualnej ... Zamiast tego zamieść zawartość plisty demona uruchamiania / agentów i prześlij plik wykonywalny do systemu wirtualnego lub podobnego.
klanomath

Moje pytanie jest naprawdę jedno: jaka jest polityka Apple w tym zakresie? Jeśli nie ma odpowiedzi, to mam wiele pytań, które można z grubsza podsumować w „czym jest f-k?” i zbyt wiele punktów do zaatakowania jako jeden problem.
Saturnix

Wersja to Sierra do ostatniej aktualizacji. Te pliki były już wykonywane, a ten komputer i tak ma zostać zbombardowany.
Saturnix

Odpowiedzi:


1

Opcje kontaktu Apple są wymienione na https://www.apple.com/contact/ . Aktualizacje zabezpieczeń dostarczają poprawki do znanych problemów z bezpieczeństwem, zwykle tak się dzieje nie usuń wirusy / złośliwe oprogramowanie z już zainfekowanych systemów.

Z podejrzanymi plikami już nie ma możliwości przeanalizowania tego, co stało się z komputerem twojego ojca, więc równie dobrze możesz iść naprzód i ponownie zainstalować wszystko od zera. Najprawdopodobniej najbezpieczniej jest skorzystać z narzędzia Internet Recovery, aby zmniejszyć ryzyko przywrócenia z zainfekowanej partycji odzyskiwania.


Nadal mam większość plików wykonywalnych. Przekazanie ich teraz do Apple ... mam nadzieję, że znajdę czas na ich zebranie i analizę.
Saturnix
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.