Malware e adware sul mio mac

Tutto quello che riguarda OS X Mavericks 10.9

Moderatore: ModiMaccanici

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Ksfetch e KSOutOfProcessFetcher sono autoupdate di Google Chrome.
È il caricamento dell'istruzione per eseguire il demone keystone.

Inoltre appartengono all'utente 501, cioè tu.
Non possono essere malware

tighine
Stato: Non connesso
Expert Latitante
Expert Latitante
Iscritto il: mer, 30 ott 2013 08:00
Messaggi: 1781

Top

Non ricordo più chi lo disse:

"- Gli aggiornamenti automatici di Google creano troppo impegno, non so perché.
Già lo fanno normalmente.
Stoppali, ci sono due modi

1) Aggiungendo questa stringa dopo <dict> in /Library/LaunchAgents/com.google.keystone.agent.plist

Codice:
<key>disabled</key>
<true/>


Si fa così:
Per prima cosa si clicca sul documento e si chiedono informazioni.
Si sblocca il lucchetto con la password di amministrazione e si conferiscono al gruppo wheels, di cui fa parte il proprio utente, le proprietà di lettura e scrittura.


 
 
Poi si apre il documento con un text editor, tipo TextWrangler, Fraise, basta anche TextEdit, e si modifica.
 

 
Poi si registra, naturalmente con l'immissione della password di amministrazione.
Devi naturalmente attivare un'applicazione per controllare periodicamente se ci sono aggiornamenti nelle applicazioni e servizi Google

Oppure con Terminale:
Codice:
defaults write com.google.Keystone.Agent checkInterval 0

Per ripristinare:
defaults write com.google.Keystone.Agent checkInterval 1"

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

ok, grazie del consiglio!

Avatar utente
Naz959
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: mer, 20 lug 2016 10:00
Messaggi: 31

Top

Ciao a tutti, leggendo questa discussione mi è venuto il dubbio, poiché già da diversi giorni notavo spesso uno spiacevole inconveniente, di avere anche io lo stesso problema. Ciò consisteva nel caricamento automatico di una pagina (non ho pensato a fare lo screenshot :oops: ) in cui con fare quasi intimidatorio mi si diceva che il mio Mac era stato infettato da 4 virus ed il sistema era gravemente danneggiato (seeh, aspetta che ci credo). Naturalmente per risolvere istantaneamente il problema avrei dovuto scaricare l'orrido Mackeeper, cosa che non ho mai sognato di fare neanche per sbaglio. Avevo inizialmente pensato che la causa fossero i cookies, così ho impostato il browser per cancellarli non appena terminata la navigazione, ma infatti non era quello il problema, così poi ho controllato pure con Monitoraggio Attività ed ho visto diversi processi di cui non comprendevo l'origine, associati ad un certo utente pholcid. Allora sono corso subito a scaricare i due software di cui si parlava ad inizio discussione, ed in effetti Malwarebytes ha trovato un bel po' di spazzatura, i cui nomi dei files corrispondevano ai processi sconosciuti. Infatti ora è sparito anche codesto utente pholcid. Al successivo controllo con EthreCheck però, ho notato un altro file adware, che però si rifiuta di rimuovere dicendo che non può farlo perché non trova il backup di Time Machine (che non ho mai fatto, infatti). Per la precisione, il percorso del file è: /Library/LaunchDaemons/com.astrophobicUpd.plist (lo scrivo in rosso come era sul pannello), per cui dovrei cancellarlo manualmente da Terminale? Poi ci sarebbe anche un'altra cosa che vorrei capire meglio, alla voce Configuration files, leggo /etc/hosts - Count: 47, ma cosa sarebbe quel numero? Scusate la lunghezza, ma questa cosa vorrei capirla per bene, se possibile anche come impedire queste intrusioni di immondizia nel mio computer.
Il computer è la bicicletta della nostra mente. (Steve Jobs)

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Naz959 ha scritto:... un certo utente pholcid... /Library/LaunchDaemons/com.astrophobicUpd.plist...
Posta per intero un EtreCheck
http://www.etresoft.com/etrecheck" onclick="window.open(this.href);return false;
Come fare ad eseguirlo e postarlo:
https://www.imaccanici.org/article.php/EtreCheck" onclick="window.open(this.href);return false;

C'è il rischio che tu abbia preso un adware dal nome Pirrit.
Estremamente difficoltoso da estirpare.
Tanto che a un non espertissimo conviene reinstallare da zero o ripristinare ad un punto precedente con Time Machine.

Per togliere di mezzo gli annunci di Mackeeper:
viewtopic.php?f=9&t=38519&start=0#p415290" onclick="window.open(this.href);return false;

Così ti sarà chiaro anche il file hosts...

Avatar utente
Naz959
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: mer, 20 lug 2016 10:00
Messaggi: 31

Top

Ciao Faxus, grazie mille per l'interessamento prima di tutto.
C'è il rischio che tu abbia preso un adware dal nome Pirrit.
Estremamente difficoltoso da estirpare.
Tanto che a un non espertissimo conviene reinstallare da zero o ripristinare ad un punto precedente con Time Machine.
:sad2: Reinstallare da zero vuol dire reinstallare da capo tutto il sistema operativo, presumo? :sad2:

Comunque, intanto come mi hai chiesto pubblico il risultato del controllo con EtrechecK (impostando no problem - just checking come suggerito nel link):

Codice: Seleziona tutto

EtreCheck version: 3.0.2 (306)
Report generated 2016-08-23 16:41:41
Download EtreCheck from https://etrecheck.com
Runtime 3:58
Performance: Good

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.
Click the [Remove] links to remove adware.

Problem: No problem - just checking

Hardware Information: ⓘ
    MacBook (13-inch, Early 2009) 
    [Technical Specifications] - [User Guide] - [Warranty & Service]
    MacBook - model: MacBook5,2
    1 2 GHz Intel Core 2 Duo CPU: 2-core
    2 GB RAM - Insufficient RAM! Upgradeable - [Instructions]
        BANK 0/DIMM0
            1 GB DDR2 SDRAM 667 MHz ok
        BANK 1/DIMM0
            1 GB DDR2 SDRAM 667 MHz ok
    Bluetooth: Old - Handoff/Airdrop2 not supported
    Wireless:  en1: 802.11 a/b/g/n
    Battery: Health = Replace Soon - Cycle count = 918

Video Information: ⓘ
    NVIDIA GeForce 9400M - VRAM: 256 MB
        Color LCD 1280 x 800

System Software: ⓘ
    OS X Mavericks 10.9.5 (13F1911) - Time since boot: about 6 hours

Disk Information: ⓘ
    FUJITSU MHZ2120BH FFS G1 disk0 : (120,03 GB) (Rotational)
        EFI (disk0s1) <not mounted> : 210 MB 
        Macintosh HD (disk0s2) / : 119.17 GB (20.61 GB free)
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 

    HL-DT-ST DVDRW  GS22N   ()

USB Information: ⓘ
    Micron Built-in iSight 
    Apple Inc. BRCM2046 Hub 
        Apple Inc. Bluetooth USB Host Controller 
    Apple Inc. Apple Internal Keyboard / Trackpad 
    Apple Computer, Inc. IR Receiver 

Configuration files: ⓘ
    /etc/hosts - Count: 47

Gatekeeper: ⓘ
    Mac App Store and identified developers

Adware: ⓘ
    /Library/LaunchDaemons/com.apostrophicUpd.plist
    One adware file found. [Remove]

Kernel Extensions: ⓘ
        /Library/Application Support/Roxio
    [not loaded]    com.roxio.TDIXController (2.0 - 2014-08-07) [Support]

        /Library/Application Support/VirtualBox
    [loaded]    org.virtualbox.kext.VBoxDrv (5.0.24 - 2016-07-06) [Support]
    [loaded]    org.virtualbox.kext.VBoxNetAdp (5.0.24 - 2016-07-06) [Support]
    [loaded]    org.virtualbox.kext.VBoxNetFlt (5.0.24 - 2016-07-06) [Support]
    [loaded]    org.virtualbox.kext.VBoxUSB (5.0.24 - 2016-07-06) [Support]

        /System/Library/Extensions
    [not loaded]    com.roxio.BluRaySupport (1.1.6 - 2016-08-11) [Support]

System Launch Agents: ⓘ
    [not loaded]    5 Apple tasks
    [loaded]    143 Apple tasks
    [running]    36 Apple tasks

System Launch Daemons: ⓘ
    [not loaded]    49 Apple tasks
    [loaded]    138 Apple tasks
    [running]    63 Apple tasks

Launch Agents: ⓘ
    [not loaded]    com.adobe.AAM.Updater-1.0.plist (2016-08-23) [Support]
    [loaded]    com.adobe.CS5ServiceManager.plist (2013-01-06) [Support]
    [loaded]    com.epson.Epusp.plist (2008-11-18) [Support]
    [running]    com.epson.epw.agent.plist (2008-12-25) [Support]
    [loaded]    org.macosforge.xquartz.startx.plist (2015-10-16) [Support]

Launch Daemons: ⓘ
    [loaded]    com.adobe.SwitchBoard.plist (2013-01-06) [Support]
    [running]    com.adobe.agsservice.plist (2016-08-23) [Support]
    [loaded]    com.adobe.fpsaud.plist (2016-06-29) [Support]
    [not loaded]    com.apostrophicUpd.plist (2016-05-31) Adware!  [Remove]
    [loaded]    com.macpaw.CleanMyMac3.Agent.plist (2016-07-19) [Support]
    [loaded]    com.malwarebytes.HelperTool.plist (2016-08-23) [Support]
    [loaded]    org.macosforge.xquartz.privileged_startx.plist (2015-10-16) [Support]
    [loaded]    org.tcpdump.chmod_bpf.plist (2015-08-11) [Support]
    [not loaded]    org.virtualbox.startup.plist (2016-07-06) [Support]

User Launch Agents: ⓘ
    [loaded]    com.adobe.AAM.Updater-1.0.plist (2013-01-06) [Support]
    [loaded]    com.citrixonline.GoToMeeting.G2MUpdate.plist (2016-04-22) [Support]
    [loaded]    com.macpaw.CleanMyMac3.Scheduler.plist (2016-08-22)
    [not loaded]    org.virtualbox.vboxwebsrv.plist (2016-07-06) [Support]

User Login Items: ⓘ
    EEventManager    Applicazione  (/Applications/Epson Software/Event Manager.app/Contents/Resources/Assistants/Event Manager/EEventManager.app)
    CleanMyMac 3 Menu    Applicazione  (/Applications/CleanMyMac 3.app/Contents/MacOS/CleanMyMac 3 Menu.app)

Internet Plug-ins: ⓘ
    DirectorShockwave: 12.2.4r194 - SDK 10.6 (2016-02-23) [Support]
    Google Earth Web Plug-in: 7.1 (2016-07-28) [Support]
    Default Browser: 537 - SDK 10.9 (2016-07-28)
    Flip4Mac WMV Plugin: 2.4.4.2 (2014-02-24) [Support]
    Unity Web Player: UnityPlayer version 5.2.3f1 - SDK 10.6 (2015-12-11) [Support]
    AdobeAAMDetect: AdobeAAMDetect 1.0.0.0 - SDK 10.6 (2013-12-31) [Support]
    FlashPlayer-10.6: 22.0.0.209 - SDK 10.9 (2016-08-23) [Support]
    AdobePDFViewerNPAPI: 11.0.0 - SDK 10.6 (2016-07-28) [Support]
    Silverlight: 5.1.50428.0 - SDK 10.6 (2016-08-23) [Support]
    QuickTime Plugin: 7.7.3 (2016-08-03)
    Flash Player: 22.0.0.209 - SDK 10.9 (2016-08-23) [Support]
    iPhotoPhotocast: 7.0 - SDK 10.8 (2016-04-21)
    PepperFlashPlayer: 22.0.0.209 - SDK 10.6 (2016-08-23) [Support]
    AdobePDFViewer: 11.0.0 - SDK 10.6 (2016-07-28) [Support]
    JavaAppletPlugin: 14.9.0 - SDK 10.7 (2014-08-07) Check version

User internet Plug-ins: ⓘ
    CitrixOnlineWebDeploymentPlugin: 1.0.105 (2013-04-26) [Support]
    fbplugin_1_0_3: Unknown (2016-07-28) [Support]
    Picasa: 1.0 - SDK 10.6 (2015-02-13) [Support]

Safari Extensions: ⓘ
    Avast Online Security - AVAST Software - http://www.avast.com (2015-12-28)
    YouTube Downloader - Aimersoft Studio - http://www.aimersoft.com (2013-07-12)

3rd Party Preference Panes: ⓘ
    Flash Player (2016-06-29) [Support]
    Flip4Mac WMV (2012-05-16) [Support]
    Growl (2016-07-28) [Support]

Time Machine: ⓘ
    Time Machine not configured!

Top Processes by CPU: ⓘ
        26%    mdworker(3)
         9%    Vivaldi Helper(4)
         3%    WindowServer
         2%    kernel_task
         1%    Vivaldi

Top Processes by Memory: ⓘ
    459 MB    Vivaldi Helper(4)
    220 MB    kernel_task
    125 MB    Vivaldi
    119 MB    Finder
    41 MB    WindowServer

Virtual Memory Information: ⓘ
    57 MB    Free RAM 
    1.68 GB    Used RAM (336 MB Cached)
    140 MB    Swap Used 

Diagnostics Information: ⓘ
    Aug 23, 2016, 10:18:36 AM    Self test - passed
    Aug 23, 2016, 10:16:21 AM    /Library/Logs/DiagnosticReports/MyShopMate_2016-08-23-101621_[redacted].crash
        /Users/*/MyShopMate


Il computer è la bicicletta della nostra mente. (Steve Jobs)

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Elimina:
- CleanMyMac - inutile, pericoloso e dannoso
- Flip4Mac - superfluo e antiquato
- i residui di antivirus Avast - neanche a dire perché
- Picasa, obsoleto
- Citrix (come consiglio)
- fb plugin, corrotto

Adware e vario truffaware:
~/ Library/ Internet Plug-Ins/My ShopMate
/Library/Launch Daemons/com.apostrophicUpd.plist

M tieni sotto controllo ancora, temo per il secondo che è indice di Pirrit.

Esegui questo comando

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'
Poi posta il risultato.
Poi questo, posta il risultato o segnala se non ha trovato nulla

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

Avatar utente
Naz959
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: mer, 20 lug 2016 10:00
Messaggi: 31

Top

Ok, eliminato quanto mi hai detto, poi ho inserito il comando al Terminale, il risultato è il seguente:

Codice: Seleziona tutto

_assetcache
_avbdeviced
_carddav
_coreaudiod
_coremediaiod
_cvmsroot
_devicemgr
_dovecot
_dovenull
_dpaudio
_kadmin_admin
_kadmin_changepw
_krb_anonymous
_krb_changepw
_krb_kadmin
_krb_kerberos
_krb_krbtgt
_krbtgt
_launchservicesd
_lda
_locationd
_netbios
_netstatistics
_postgres
_screensaver
_softwareupdate
_timezone
_trustevaluationagent
_usbmuxd
_warmd
_webauthserver
_xcsbuildagent
_xcscredserver
almique
Asperges
circinal
commonition
criminator
diammine
foolishly
gaslighting
mischoose
pholcid
simoniacal
sovereignness
stooker
Xylophagus
yelper

Mentre per il secondo comando il risultato è il seguente (sono nomi di processi in esecuzione? A proposito, se mi dai un veloce chiarimento su cosa fanno i due comandi che mi hai fatto eseguire te ne sarei molto grato :) ):

Codice: Seleziona tutto

almique                     401
Asperges                    401
circinal                    401
commonition                 401
criminator                  401
diammine                    401
foolishly                   401
gaslighting                 401
mischoose                   401
pholcid                     401
simoniacal                  401
sovereignness               401
stooker                     401
Xylophagus                  401
yelper                      401
Il computer è la bicicletta della nostra mente. (Steve Jobs)

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Purtroppo ti sei beccato Pirrit.

Pessima notizia perché non sei espertissimo tanto da poterlo cancellare da solo.
E a distanza su un forum è una cosa improponibile.

Quei comandi indagano su utenti amministratori del tuo Mac.
Sono nascosti e difficilmente trovabili, in Pirrit.
Purtroppo hai scaricato quella schifezza, probabilmente da siti di film in streaming e hai permesso che si installassero.
Il meccanismo con cui opera questo tenacissimo adware, è installare amministratori e aggiornarsi costantemente.

Senza una manovra esperta e radicale è impossibile bloccarlo perché si rigenera.
Piazza una marea di file dappertutto, nelle cartelle invisibili e crea amministratori nascosti.
Tu ne hai ben 15...
Quindi significa che è un pezzo che l'hai installato.

Se riesci a stabilire una data certa in cui sei assolutamente sicuro di esserne indenne, recupera da un backup.
Altrimenti radi tutto al suolo e installa da zero.

Attenzione, importando SOLO i dati di cui sei certo della consistenza.
Tutti i programmi andranno riscaricati e preinstallati.
Tutte le impostazioni senza automatismi, rigorosamente a mano.

Mi spiace...

Avatar utente
Naz959
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: mer, 20 lug 2016 10:00
Messaggi: 31

Top

faxus ha scritto:Purtroppo ti sei beccato Pirrit.

Pessima notizia perché non sei espertissimo tanto da poterlo cancellare da solo.
E a distanza su un forum è una cosa improponibile.

Quei comandi indagano su utenti amministratori del tuo Mac.
Sono nascosti e difficilmente trovabili, in Pirrit.
Purtroppo hai scaricato quella schifezza, probabilmente da siti di film in streaming e hai permesso che si installassero.
Il meccanismo con cui opera questo tenacissimo adware, è installare amministratori e aggiornarsi costantemente.

Senza una manovra esperta e radicale è impossibile bloccarlo perché si rigenera.
Piazza una marea di file dappertutto, nelle cartelle invisibili e crea amministratori nascosti.
Tu ne hai ben 15...
Quindi significa che è un pezzo che l'hai installato.

Se riesci a stabilire una data certa in cui sei assolutamente sicuro di esserne indenne, recupera da un backup.
Altrimenti radi tutto al suolo e installa da zero.

Attenzione, importando SOLO i dati di cui sei certo della consistenza.
Tutti i programmi andranno riscaricati e preinstallati.
Tutte le impostazioni senza automatismi, rigorosamente a mano.

Mi spiace...

:cry: :cry: :cry: :cry: :cry:

Non importa, ti ringrazio comunque per l'interessamento e l'aiuto, è stato molto utile, ho appreso diverse cose che hanno già ampliato il mio bagaglio di conoscenze. :)

Stabilire una data certa purtroppo mi risulta impossibile, chissà da quanto tempo sta lì quella m***a, eppure non capisco, sui siti di film in streaming non ci vado mai, non ne ho la necessità. Inizio a pensare che allora, imprudentemente avrò scaricato qualche file contaminato da qualche sito ingannevole.

A questo punto, un ultima domanda, cosa devo imparare per acquisire il necessario livello di esperienza così che possa risolvere queste situazioni? Il sapere che qualcuno faccia in modo di installare spazzatura indesiderata sul mio computer mi provoca una certa roteazione.
Il computer è la bicicletta della nostra mente. (Steve Jobs)

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Naz959 ha scritto:... cosa devo imparare per acquisire il necessario livello di esperienza così che possa risolvere queste situazioni? Il sapere che qualcuno faccia in modo di installare spazzatura indesiderata sul mio computer mi provoca una certa roteazione.
È un po' un problema...

In genere si sceglie Mac e MacOS per non avere di queste necessità.
Ma purtroppo, pur in assenza di virus e malware di vari tipi, è diventato una preoccupazione da avere.
Il Mac, è indenne, visto il sistema ad utenze, permessi e privilegi dal malware che infesta il mondo derivato da DOS, Windows soprattutto.

Però il fatto di doversi affacciare in rete permette, grazie a protocolli standard, alcuni attacchi ai meccanismi di navigazione.
E, di conseguenza, ai meccanismi interni di controllo.
In sostanza adware e collegato truffaware.

Funziona così:
Gli ingenui o poco esperti prendono, scaricando e navigando in modo improprio, l'adware.
Poi cercano sul web il rimedio o vengono sollecitati dagli annunci dell'adware.
E gli ingenui e poco esperti scaricano, installano, addirittura pagando, il truffaware.

Mackeeper, CleanMyMac e simili.
Quando non addirittura gli antivirus.

A te, purtroppo è capitato il peggio del peggio che possa capitare ad un macuser.
Un adware che è strutturato come una specie rudimentale di virus.
Al momento non esiste un meccanismo automatico efficiente per disinstallarlo.
Solo un utente esperto con il sistema davanti, può.

C'è solo uno script abbastanza improbabile.
L'ho voluto testare e mi ha procurato danni non indifferenti.
È vero pure che nelle istruzioni era indicato, ma neanche delle precauzioni hanno resistito al danno.

Chi ha avuto Pirrit, l'ha provato, ma il risultato non è stato definitivo.
Stiamo solo aspettando che Apple ponga dei limiti.
E che altri non sfruttino lo stesso meccanismo per diffondere un vero e proprio malware su MacOS.
Fino ad oggi inesistente

Avatar utente
fragrua
Stato: Non connesso
Admin of my life
Admin of my life
Avatar utente
Iscritto il: sab, 08 ott 2005 07:00
Messaggi: 62791
Località: [k]ragnano

Top

Contatta:
Ma nemmeno entrando come root si può sistemare a manina tutto? :roll:
Mi sembra strano. Comunque apriamo l'occhio sempre. ;)
La prima cosa su cui devi investire è il benessere del tuo corpo, l'unica cosa che ti porterai nella tomba.
Franz Grua (sarebbe fragrua)

In un mondo perfetto io sarei un essere inutile.
©2015 albertocchio

—> Uso corretto del Forum: https://goo.gl/9xOO0a

Immagine

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Root c'entra poco, basta il sudo, eventualmente.

Il problema sta in tre elementi caratterizzanti che sono di scarsa conoscenza dell'utente normale.

All'utente normale sfugge il significato delle utenze amministrative nascoste sotto l'ID 500.
Sfugge la collocazione ed il funzionamento delle cartelle e file in /private/etc/.
All'utente normale sfuggono i nomi dei file com.apple.xxx e non sa riconoscere i falsi dagli originali.

In Pirrit ci sono degli elementi replicanti e moltiplicanti, users e upd.
Vanno bloccati ed eliminati contestualmente, poi si eliminano i residui.
Ma vanno identificati subito e con sicurezza.

I nomi non hanno senso, vengono generati da dizionari.
Sfuggono anche dalle ricerche, per cui è impossibile riconoscerli.

Non so se hai notato che ho detto Pirrit quando ho letto apostrophic.
Ad una ricerca sul web non corrisponde nulla con quel nome.

Io e te sappiamo che non esiste nulla sul sistema e nei programmi di MacOS con quel nome.
Ma un utente normale non lo sa e non lo riconosce come posticcio.
Nè un injector, né un com.apple.service.plist falso se sta in una cartella dove normalmente non ci sono file di preferenze di Apple.
Che, anche ad aprirlo, è proprio un file di preferenze vero, ma non di Apple, ma funzionale a Pirrit.

Ho una cartella in cui tengo Pirrit e tutti i suoi tipi di file installati e le locazioni.
Ho studiato la faccenda e il risultato è che l'eliminazione può essere solo effettuata manualmente da un esperto che conosca Pirrit.

Automatismi e script non se ne possono fare.
Il Motivo è semplice, i file di Pirrit si nascondono con nomi creati casualmente, in mezzo ad altri file e in cartelle che sono normali.

Eliminarli bombardando quelle locazioni significa fare danni anche al sistema.
Non so se hai presente la nota faccenda degli scudi umani nella guerra di guerriglia.
Non puoi sparare contro il nemico o aggressore perché faresti più vittime civili che avversarie.

Devi andare lì e ammazzarli all'arma bianca, uno per uno e tutti insieme, come prima dell'avvento della polvere da sparo.

Almeno finché qualcuno non cattura un installer e dopo averlo studiato non disattiva il meccanismo d'installazione al momento dell'aggressione al sistema.
Ma è una cosa che potrebbe fare solo Apple.

Si spera, perché se lo fa un produttore di antimalware chissà quale altra peggiore porcheria ci rifila in bundle...

Avatar utente
pierospanu
Stato: Non connesso
Stella nascente
Stella nascente
Avatar utente
Iscritto il: mar, 09 feb 2016 20:58
Messaggi: 694
Località: regno di sardegna

Top

@faxus: comunque sarebbe molto interessante per i comuni mortali sapere il significato delle due formule cabalistiche che hai suggerito a naz959, cosa fanno e perché.

Devo dire che le ho testate sul mio macbook e non sembrano avere rilevato niente di anomalo, ma mi piacerebbe sapere qualcosa di più. Magari per usarle in futuro in situazioni "dubbie".

Grazie.

Piero

Avatar utente
Naz959
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: mer, 20 lug 2016 10:00
Messaggi: 31

Top

faxus ha scritto:
Naz959 ha scritto:... cosa devo imparare per acquisire il necessario livello di esperienza così che possa risolvere queste situazioni? Il sapere che qualcuno faccia in modo di installare spazzatura indesiderata sul mio computer mi provoca una certa roteazione.
È un po' un problema...

In genere si sceglie Mac e MacOS per non avere di queste necessità.
Ma purtroppo, pur in assenza di virus e malware di vari tipi, è diventato una preoccupazione da avere.
Il Mac, è indenne, visto il sistema ad utenze, permessi e privilegi dal malware che infesta il mondo derivato da DOS, Windows soprattutto.

Però il fatto di doversi affacciare in rete permette, grazie a protocolli standard, alcuni attacchi ai meccanismi di navigazione.
E, di conseguenza, ai meccanismi interni di controllo.
In sostanza adware e collegato truffaware.

Funziona così:
Gli ingenui o poco esperti prendono, scaricando e navigando in modo improprio, l'adware.
Poi cercano sul web il rimedio o vengono sollecitati dagli annunci dell'adware.
E gli ingenui e poco esperti scaricano, installano, addirittura pagando, il truffaware.

Mackeeper, CleanMyMac e simili.
Quando non addirittura gli antivirus.

A te, purtroppo è capitato il peggio del peggio che possa capitare ad un macuser.
Un adware che è strutturato come una specie rudimentale di virus.
Al momento non esiste un meccanismo automatico efficiente per disinstallarlo.
Solo un utente esperto con il sistema davanti, può.

C'è solo uno script abbastanza improbabile.
L'ho voluto testare e mi ha procurato danni non indifferenti.
È vero pure che nelle istruzioni era indicato, ma neanche delle precauzioni hanno resistito al danno.

Chi ha avuto Pirrit, l'ha provato, ma il risultato non è stato definitivo.
Stiamo solo aspettando che Apple ponga dei limiti.
E che altri non sfruttino lo stesso meccanismo per diffondere un vero e proprio malware su MacOS.
Fino ad oggi inesistente

Proprio per quello infatti, nel 2009 abbandonai definitivamente Windows per OSX. Non ne potevo più dei continui malfunzionamenti, dovuti al riempirsi di vermi, immondizia varia, se non quando dei veri e propri virus da parte del sistema. Così ho avuto un lungo periodo di tregua, ma ora pare proprio che ci risiamo. Devo purtroppo confessare l'ingenuità da parte mia, ero uno di quelli convinti di avere un sistema esente da qualsiasi malware/virus e che neppure perfino necessitasse di manutenzione. Il sistema perfetto non esiste, e soprattutto, neanche l'utente perfetto, almeno nel mio caso. :(

Dunque se non ho capito male, per eliminare questa robaccia dovrei essere in grado di rigirare il Mac come un calzino, più o meno. Al momento non ne sono certo in grado, anzi, meglio non tentare di fare l'eroe, che se poi inavvertitamente faccio fuori qualche importante file di sistema allora saranno guai molto seri.

Cercherò di ampliare le mie conoscenze nel tempo, in ogni caso nessuno nasce imparato, quindi tanto vale che studio.
pierospanu ha scritto: @faxus: comunque sarebbe molto interessante per i comuni mortali sapere il significato delle due formule cabalistiche che hai suggerito a naz959, cosa fanno e perché.

Devo dire che le ho testate sul mio macbook e non sembrano avere rilevato niente di anomalo, ma mi piacerebbe sapere qualcosa di più. Magari per usarle in futuro in situazioni "dubbie".

Grazie.

Piero
Da come ho capito servono per fare verifiche approfondite sugli utenti del sistema, credo anche per scovarne eventualmente di nascosti, comunque penso sia meglio se lo spiega Faxus, nel caso magari mi correggerà se ho capito male.
Il computer è la bicicletta della nostra mente. (Steve Jobs)

Rispondi

Torna a “OS X Mavericks 10.9”

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti