Malware e adware sul mio mac

Tutto quello che riguarda OS X Mavericks 10.9

Moderatore: ModiMaccanici

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

launchd rimane nel cestino perchè dice che è in uso :? che faccio? la rimetto a posto?

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
bendis ha scritto:launchd rimane nel cestino perchè dice che è in uso :? che faccio? la rimetto a posto?
Quella che mi hai inviata, dentro a PRIVATE_VAR_TMP è vuota e le info mi dicono zero byte.

Prova a vedere che c'è dentro.

Comunque ho scoperto che questa roba è una variante di VSearch

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

faxus ha scritto:
bendis ha scritto:launchd rimane nel cestino perchè dice che è in uso :? che faccio? la rimetto a posto?
Quella che mi hai inviata, dentro a PRIVATE_VAR_TMP è vuota e le info mi dicono zero byte.

Prova a vedere che c'è dentro.

Comunque ho scoperto che questa roba è una variante di VSearch
dentro me la dà vuota, così come te l'ho mandata, però se provo a svuotare il cestino mi dice che è in uso

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
bendi ha scritto:... dentro me la dà vuota, così come te l'ho mandata, però se provo a svuotare il cestino mi dice che è in uso
Con questo comando e molta cura, solo copia ed incolla

Codice: Seleziona tutto

sudo rm -rf ~/.Trash/*
Controlla anche per similitudine
https://support.norton.com/sp/it/it/hom ... file_it_it" onclick="window.open(this.href);return false;
http://www.thesafemac.com/arg-vsearch/" onclick="window.open(this.href);return false;

Te lo sei preso con un film streaming?

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

su monitoraggio attività ho 4 processi attivi di launchd:

launchd, utente root, IDP 241: se vado sulle info dice processo padre: launchd (1) - gruppo processo: launchhd (241)
launchd, utente root, IDP 1: processo padre: kernel task - gruppo processo: launchhd (1)
launchd, utente mionome, IDP 142: processo padre: launchd (1) - gruppo processo: launchhd (142)
launchd, utente _spotlight, IDP 257: processo padre: launchd (1) - gruppo processo: launchhd (257)

poi c'è questo launchservicesd, utente root, IDP 94: processo padre: launchd (1) - gruppo processo launchservicesd (94)

non so se questo può indicare qualcosa...

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

faxus ha scritto:
bendi ha scritto:... dentro me la dà vuota, così come te l'ho mandata, però se provo a svuotare il cestino mi dice che è in uso
Con questo comando e molta cura, solo copia ed incolla

Codice: Seleziona tutto

sudo rm -rf ~/.Trash/*
Controlla anche per similitudine
https://support.norton.com/sp/it/it/hom ... file_it_it" onclick="window.open(this.href);return false;
http://www.thesafemac.com/arg-vsearch/" onclick="window.open(this.href);return false;

Te lo sei preso con un film streaming?
ok

non credo, ho cercato di vedere film in streaming ma siccome volevano sempre iscrizioni non l'ho fatto
però scarico torrent di film da utorrent :oops:

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
L'hai preso cercando di accedere ad un film in streaming...

TeamViewer appare regolamentare

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

faxus ha scritto:L'hai preso cercando di accedere ad un film in streaming...

TeamViewer appare regolamentare
comunque la prima cosa che ho fatto ieri è fare il check con malwarebytes che ha trovato 5 cose tra cui VSearch, se non ricordo male, ma che penso fosse nel mi mac da un pò.... (tra l'altro avevo da almeno un anno tra gli addon di firefox e safari il gophoto che non ero riuscita a togliere ma avevo disattivato, ora ho visto che è sparito)
invece questi ultimi con le cartelle che si duplicano e cambiano nome è roba più recente

quello che ho installato di recente è qbittorrent perchè volevo sostituirlo a utorrent che uso in quanto avevo letto che utorrent , quando lo installi, ti mette anche altra immondizia...

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
bendi ha scritto:... ho installato di recente è qbittorrent perchè volevo sostituirlo a utorrent che uso in quanto avevo letto che utorrent , quando lo installi, ti mette anche altra immondizia...
Se stai un po' attenta non lo fa.
Certo, è una bella seccatura...

Una volta non era così.
Pensa che fui uno dei primi a beccarmi Genieo.
Io che non prendo mai nulla in assoluto, come malware.

Cliccando su un bottone sbagliato del sito Source Forge.
Fragrua ancora ride da quando glielo raccontai...

Mai più niente da quel sito, che era uno dei miei preferiti.

Stamattina ho aperto Inkscape e sono stato avvertito che XQuartz era da aggiornare a 2.7.9.
Me lo sono scaricato con Brew Cask, con Terminale.
A parte la comodità, scarica in background, il download si era interrotto e l'ho potuto riprendere.
Si installa da solo in applicazioni, sostituendo il vecchio.
E soprattutto non ti scarica in bundle 1Password, ti avverte "Se vuoi 1password, vai sul sito e te la scarichi"...

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

faxus ha scritto:
Stamattina ho aperto Inkscape e sono stato avvertito che XQuartz era da aggiornare a 2.7.9.
Me lo sono scaricato con Brew Cask, con Terminale.
A parte la comodità, scarica in background, il download si era interrotto e l'ho potuto riprendere.
Si installa da solo in applicazioni, sostituendo il vecchio.
E soprattutto non ti scarica in bundle 1Password, ti avverte "Se vuoi 1password, vai sul sito e te la scarichi"...
:shock: ho capito la metà di quello che hai scritto....

cercherò di documentarmi su questo Inkscape e su Brew Cask, non li conosco e non ho idea del loro utilizzo... nè so cosa sia un bundle :oops:

comunque... un'utente mi ha inviato questo video via mp perchè quello che avevo sul mio mac sembra essere OSX.Pirrit



è stato pubblicato ieri e nella descrizione c'è scritto questo:

Not a lot was said about adware, especially not about adware for Mac. Adware is usually dismissed for being too benign and not interesting. After all – it just displays ads. But what if you were hit with an aggressive variant with malware-like features that has root access to your machine and has the ability to do what ever its creators wanted it to do?

A Mac OS X port of the Pirrit adware includes properties like hidden users, traffic redirection, persistence, and weird DGA-looking domains, all showing that an aggressive malvertiser is now targeting Macs. In the case of OSX.Pirrit, it uses simple social engineering to escalate its privileges and eventually take total control of your Mac. And with control of your machine, Pirrit’s creators could have done pretty much anything, like stolen your company’s secret sauce or installed a keylogger to capture the log-in credentials for your bank account. The creators of Pirrit were trying very hard to avoid being detected by antiviruses, personal firewalls and even from some advanced users.

In this talk, we’ll review OSX/Pirrit, dissect its methods and show it could have carried out much more sinister activities besides bombard a browser with ads.

T_Pol
Stato: Non connesso
Stella nascente
Stella nascente
Iscritto il: sab, 06 giu 2015 08:25
Messaggi: 882

Top

ciao bendis.
se e OSX.Pirrit ho trovato un po di informazioni.
qui: https://securelist.it/news/61243/il-mal ... l-momento/" onclick="window.open(this.href);return false;
nello stesso sito c’e anche un script lo trovi qui : https://github.com/aserper/osx.pirrit_r ... _pirrit.sh" onclick="window.open(this.href);return false;
lo script ti incollo il testo:
55 lines (40 sloc) 1.94 KB

echo "*** Osx.Pirit Removal script, Amit Serper, @0xamit ***"

echo "*** BEFORE YOU RUN THIS SCRIPT, STOP! I CAN'T TAKE ANY RESPONSIBILITY ON ANY DAMAGES HAPPENING TO YOUR MACHINE. YOU ARE THE MASTER OF YOUR OWN FATE"

echo "*** Before running this script check that you are indeed infected with osx.pirrit. TERMINATE THIS SCRIPT BY HITTING CTRL+C AND RUNNING THE FOLLOWING COMMAND:"

echo "$ dscl . -list /Users UniqueID | grep 401"

echo "If this command has an output then continue running this script. Else DONT"

echo "Press any key to continue running this script, remember - I am not responsible for any unfortunate outcomes"

read



echo "[*] Getting net_pref name"

netPrefFileName=$(sudo defaults read /Library/Preferences/com.common.plist net_pref)



echo "[*] Netperf name is:"

echo $netPrefFileName



echo "[*] Getting appname from com.common.plist"

appName=$(sudo defaults read /Library/Preferences/com.common.plist name)

echo $appName



echo "[*] Stopping and removing LaunchDaemon"

sudo launchctl unload -w "/Library/LaunchDaemons/"$netPrefFileName

sudo killall $appName



sudo rm "/Library/LaunchDaemons/"$netPrefFileName



echo "[*] Removing injector"

sudo rm -r "/Library/"$appName

echo "[*] Removing malicious pf configs made by Pirrit"

sudo rm /etc/change_net_settings.sh



sudo pfctl -evf /etc/pf.conf



servicePrefFileName=$(sudo defaults read /Library/Preferences/com.common.plist service_pref)

echo “[*] Net pref file name:”

echo $netPrefFileName



appName=$(sudo defaults read /Library/Preferences/com.common.plist name)

echo “[*] App name is:”

echo $appName



echo “[*] Removing LaunchDaemon”

sudo launchctl unload -w "/Library/LaunchDaemons/"$servicePrefFileName

echo [*] Killing app and osascript”

sudo killall $appName

sudo killall osascript



echo “[*] Cleaning up…”

sudo rm "/Library/LaunchDaemons/"$servicePrefFileName



sudo rm -r "/Library/"$appName



echo “[*] Removing pirrit launching script”

sudo rm /etc/run_app.sh



echo “Script finished\n”

magari con la visione del grande faxus, ti può dare conferme sul funzionamento dello script.
Buona Serata.

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

grazie mille!

nello script c'è un comando che toglie injector che io avevo quindi sì, potrebbe essere proprio questo!
se capisco bene quello che è scritto c'è un comando da eseguire all'inizio per verificare di essere effettivamente infetti, giusto?

ci proverò per verificare se siamo riusciti a pulire il mio mac a mano o se è necessario eseguire questo script

più che altro: qual'è il comando che devo copiare e incollare?
questo?

$ dscl . -list /Users UniqueID | grep 401

o anche quello che c'è prima e dopo?
Ultima modifica di bendis il dom, 05 giu 2016 21:43, modificato 1 volta in totale.

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

faxus ha scritto:Il resto appare ora decente.

Con calma faremo un po' di pulizia.
Oggi ho molto da fare.

Intanto, però, subito:
Elimina il software Panasonic, se proprio ti serve dopo lo potrai reinstallare aggiornato e compatibile.
Il software TeamViewer
viewtopic.php?f=2&t=37927" onclick="window.open(this.href);return false;

Poi fai un bel backup, come hai promesso.
Il resto dopo


EDIT, vedo il tuo messaggio!

La mia cartella top è vuota.
Mi sembra tutto sospetto il contenuto.
Sicuramente sono fasulli da copiare in una cartella per me e da eliminare:

_MACOS
VsInstaller di tutti i tipi
com.vsearch.sock
tutti i tmp sfusi e icl

Non so la cartella launchd (che non dovrebbe stare lì)
Ma è protetta, vedi se riesci a vedere il contenuto aprendola con i permessi di amministrazione

Poi indaga sul contenuto di systemstats
scusami, secondo te devo cancellare anche il contenuto di private/tmp/?
perchè dentro una di quelle cartelle c'è un file eseguibile unix chiamato ksfetch che si è ricreato oggi alle 20.29

la tua cartella private/tmp/ è vuota?

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

bendis ha scritto:
scusami, secondo te devo cancellare anche il contenuto di private/tmp/?
perchè dentro una di quelle cartelle c'è un file eseguibile unix chiamato ksfetch che si è ricreato oggi alle 20.29

la tua cartella private/tmp/ è vuota?
ah, cercando su google ho visto che dovrebbe essere una cosa che centra con gli update dei programmi di google quindi non c'entra col malware... mi confermate?

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

nella mia cartella private/var/tmp/ è ricomparsa la cartella launchd con divieto di accesso e quella systemstats (che sembra vuota) e nella cartella private/tmp/ sono ricomparsi gli altri launchd (alcuni vuoti altri con divieto di accesso)

su monitoraggio attività non mi sembra ci siano processi strani nè utenti sconosciuti, che quelle cartelle siano normali?
come quella nominata KSOutOfProcessFetcher.501.ppfIhqX0vjaTSb8AJYobDV7Cu68= dentro private/tmp/ e che c'entra con gli aggiornamenti dei programmi di google?

Rispondi

Torna a “OS X Mavericks 10.9”

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti