Shlayer e varianti - Altro adware-malware per macOS

[Kundalini]

ciao a tutti

... c'è qualcosa che potrei non aver considerato o qualche soluzione alternativa trovata nel frattempo che mi sono perso nel frattempo che potrebbe risolvere il mio problema senza dover reinstallare MacOS??

grazie in anticipo

Ciao e benvenuto, temo che se si tratta effettivamente di Shlayer non ci siano altre soluzioni oltre a reinstallare.
Prova prima a far girare DetectX, col suo search ed eventualmente carica un suo resoconto così possiamo dargli uno sguardo.

https://sqwarq.com/detectx/

C'è la versione free, non a pagamento, è sufficiente quella.

[memi]

ciao a tutti

... c'è qualcosa che potrei non aver considerato o qualche soluzione alternativa trovata nel frattempo che mi sono perso nel frattempo che potrebbe risolvere il mio problema senza dover reinstallare MacOS??

grazie in anticipo

Ciao e benvenuto, temo che se si tratta effettivamente di Shlayer non ci siano altre soluzioni oltre a reinstallare.
Prova prima a far girare DetectX, col suo search ed eventualmente carica un suo resoconto così possiamo dargli uno sguardo.

https://sqwarq.com/detectx/

C'è la versione free, non a pagamento, è sufficiente quella.

la funzione search di detectx Swift mi da come risultati questi 28 file
SEARCH RESULTS:

DetectX Swift v1.092
Report printed at 2019-08-29 15:45:46 +0000

/Users/ragazzi/Library/LaunchAgents/com.refight.zj.plist

/Users/ragazzi/Library/LaunchAgents/com.utilityData.plist

/Users/ragazzi/Library/utilityData/utilityData.app/Contents/MacOS/utilityData

/Users/ragazzi/Library/LaunchAgents/com.prepay.sq.plist

/Users/ragazzi/Library/Application Support/mwmhp

/Users/ragazzi/Library/utilityData/utilityData.app

/Users/ragazzi/Library/SystemExtr/SystemExtr.app

/Users/ragazzi/Library/SystemExtr

/Users/ragazzi/Library/LaunchAgents/com.SystemExtr.plist

/Users/ragazzi/Library/LaunchAgents/com.MacPerformance.plist

/Users/ragazzi/Library/Application Support/Agent

/Users/ragazzi/Library/UpdateMac/MacPerformance

/Users/ragazzi/Library/UpdateMac/MacPerformance/MacPerformance

/Users/ragazzi/Library/walleva

/Users/ragazzi/Library/UpdateMac

/Users/ragazzi/Library/search.amp

/Users/ragazzi/Library/MacInstallPallc

/Users/ragazzi/Library/MacInstallPall4

/Users/ragazzi/Library/MacInstallPall

/Users/ragazzi/Library/MacInstallEe

/Users/ragazzi/Library/LaunchAgents/macsearch.plist

/Users/ragazzi/Library/ApplicationContents

/var/tmp/re.txt

/Users/ragazzi/Library/Preferences/.3FAD0F65-FC6E-4889-B975-B96CBF807B78

/Users/ragazzi/Library/Logs/MacKeeper.log.signed

/Users/ragazzi/Library/Logs/MacKeeper.log

/Users/ragazzi/Library/ApplicationaContents

/Users/ragazzi/Library/preaccustomed.jl/preaccustomed.jl

[Alberto.G]

Risposta a memi
Purtroppo la diagnosi di DetectX Swift conferma la presenza del malware Shlayer.
Forse avrai già letto il post caricato da faxus proprio sull' Argomento in oggetto. Comunque ti scrivo uno stralcio del post che senz'altro ti può interessare:

Cosa fare?
Onestamente non lo so, i tentativi negli utenti segnalati non hanno funzionato.
Shlayer mi sfugge, non riesco a capire dove si sia installato e dove si rinnovi continuamente.
Per cui non mi resta che consigliare una reinstallazione da zero del sistema
E poi la sola importazione dei puri dati utente senza null'altro.

Cosa non fare
Non istallare altro software che promette la disinstallazione di Shlayer
Non installare antivirus
Non navigare in siti che indicano come risolvere il problema.

Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Dovrebbe evitare che si avviino script che operano nel modo indicato:

Cosa fare nell'attesa di un aggiornamento di sicurezza Apple?
Non cliccare mai su avvisi che promettono l'aggiornamento di FlashPlayer.
L'unico sito, se ne avete necessità è questo:
https://get.adobe.com/it/flashplayer/

[memi]

Risposta a memi
Purtroppo la diagnosi di DetectX Swift conferma la presenza del malware Shlayer.
Forse avrai già letto il post caricato da faxus proprio sull' Argomento in oggetto. Comunque ti scrivo uno stralcio del post che senz'altro ti può interessare:

Cosa fare?
Onestamente non lo so, i tentativi negli utenti segnalati non hanno funzionato.
Shlayer mi sfugge, non riesco a capire dove si sia installato e dove si rinnovi continuamente.
Per cui non mi resta che consigliare una reinstallazione da zero del sistema
E poi la sola importazione dei puri dati utente senza null'altro.

Cosa non fare
Non istallare altro software che promette la disinstallazione di Shlayer
Non installare antivirus
Non navigare in siti che indicano come risolvere il problema.

Sono sicuro, come già avvenuto in passato, che Apple interverrà con un'aggiornamento silente di sicurezza, quanto prima.
Dovrebbe evitare che si avviino script che operano nel modo indicato:

Cosa fare nell'attesa di un aggiornamento di sicurezza Apple?
Non cliccare mai su avvisi che promettono l'aggiornamento di FlashPlayer.
L'unico sito, se ne avete necessità è questo:
https://get.adobe.com/it/flashplayer/

ho già letto anche quel post ma mi sfugge cosa voglia dire importare i puri dati utente...
posso utilizzare la funzione di ripristino di sistema di apple o è qualcosa di più complicato??

[mattleega]

Intende dire di NON far ripristinare in automatico (ripristineresti anche le porcherie) ma di importare "a manina" solo i documenti che conosci e che ti servono.

[memi]

Intende dire di NON far ripristinare in automatico (ripristineresti anche le porcherie) ma di importare "a manina" solo i documenti che conosci e che ti servono.

Grazie mille per tutto il vostro aiuto

Procederò con il ripristino al più presto

[Zacksit]

Segnalo questo articolo della Confiant del 25 settembre. S'intitola OSX/Shlayer new Shurprise.(credo sia voluto come gioco di parole alla SH di Shlayer) unveiling OSX/Tarmac, ma non l'ho finito perché entra nei dettagli che sono al di là delle mie competenze - vabbuò ci vuole davvero molto poco - ma credo possa interessare a ƒaxus e tutti coloro che si stanno interessando a Shlayer.

The variant we discovered is OSX/Shlayer.D , (or OSX/Shlayer Double) that now uses two code signed app (one loading the other) and each of these apps are embedding two code signed and RSA encrypted scripts, that in turns downloads and executes a new malware we dubbed it: OSX/Tarmac.

Questa è una traduzione al volo molto libera. Non è precisa perché traduco solo verso l'inglese e la materia la conosco superficialmente, ma credo possa dare l'idea:

La variante che abbiamo scoperto è OSX/Shlayer.D (oppure, OSX/Shlayer Doppio) che ora usa una firma app a doppio codice (l'una che carica l'altra) è ognuna di questa inserisce degli script criptati a doppi codici firmati e RSA che a loro volta scaricano ed eseguono un nuovo malaware che abbiamo chiamato: OSX/Tarmac.

[Apfel77]

Scusate, rientra in questa categoria anche l'invito a installare Flash Player corredato dalla A di Apple store? Io ho chiuso e non ho fatto niente, tanto più che, ritornando sulla stessa pagina, è comparso il solito avviso malware...il che mi fa deporre per una variante del noto avviso rompiscatole.

[faxus]

... invito a installare Flash Player corredato dalla A di Apple store...

Sarebbe alquanto strano.

Flash non è distribuito tramite iTunes/App Store.
Ma esclusivamente dal sito Adobe (forse è quella la "A").

Infine, Flash è in via di dismissione.

Non viene quasi più usato da nessuno.
Sono anni che nessuno compila più in Flash.
Resta ormai quasi solo in alcune pagine di news che hanno vecchie impostazioni.
Lo uso solo per quello...

L'anno prossimo non sarà più supportato e quindi non aggiornato dalla stessa Adobe

[Apfel77]

... invito a installare Flash Player corredato dalla A di Apple store...

Sarebbe alquanto strano.

Flash non è distribuito tramite iTunes/App Store.
Ma esclusivamente dal sito Adobe (forse è quella la "A").

Infine, Flash è in via di dismissione.

Non viene quasi più usato da nessuno.
Sono anni che nessuno compila più in Flash.
Resta ormai quasi solo in alcune pagine di news che hanno vecchie impostazioni.
Lo uso solo per quello...

L'anno prossimo non sarà più supportato e quindi non aggiornato dalla stessa Adobe

Era proprio la A dell'Apple Store, a dire il vero nella versione vecchia, quella con il compasso. Era in basso a destra. Deduco che si tratti di un nuovo travestimento del malware.

[faxus]

Era proprio la A dell'Apple Store, a dire il vero nella versione vecchia, quella con il compasso. Era in basso a destra. Deduco che si tratti di un nuovo travestimento del malware.

Io ne dedurrei che è molto tempo che va in giro...

[baf]

Nessuno è tenuto ad usare tale software, io lo consiglio.
Se vuoi scaricarlo puoi farlo dall'archivio di questo Forum, lo abbiamo inserito dopo il primo divieto di Apple.
Oppure te lo posso fornire io.

Buonasera Faxus, i programmi consigliati funzionano alla grande.
Ho cercato File Spy nell'Archivio del sito ma non l'ho trovato, neanche nell'area dawnload.
È una applicazione che proprio come le brave spie è…introvabile
Se non è di disturbo potresti darmi un link o qualche altro dato dove reperirla?
Grazie!

ps: l'ho trovato in questo sito (https://www.scoop.it/topic/browtiogranl ... e-download) ma non so se è affidabile…

[faxus]

... Ho cercato File Spy nell'Archivio del sito ma non l'ho trovato, neanche nell'area dawnload.
È una applicazione che proprio come le brave spie è…introvabile...

File Spy, ho la v. 2.1, era distribuita su App Store.

Poi la tolsero, lasciandola negli store extraeuropei.
Poi la rimisero.
Quindi, infine, l'hanno tolta nuovamente.

Il motivo è che innocua, ma non è sandbox.
Quindi invade altre applicazioni, cosa che è fuori dalle regole App Store.
E, per quello che fa, non è una caratteristica ovviabile.

Quindi, pure se ti dessi la mia, non funzionerebbe sul tuo sistema.
Perché è scaricata da App Store, quindi posso aprirla solo sul mio macOS.
Dovrei modificarla, è una cosa fattibile, ma ci vuole del tempo che attualmente non ho...

... l'ho trovato in questo sito…

Probabilmente sì.
Credo che abbiano fatto quello che non ho tempo di fare.

Ma non posso testarla semplicemente perché ne ho una copia installata.
Inoltre quello è un sito di "warez", quindi forse è affidabile, forse no.
Vediamo se posso dedicarci un po' di tempo

[baf]

Grazie Faxus, pensavo fosse disponibile così, senza altre operazioni e perdite di tempo.
Ci sono applicazioni alternative per mac a File Spy?
Quel sito alla fine manda su usenet.nl. e quando ci sono queste catene di santantonio, lascio perdere.

[faxus]

... Ci sono applicazioni alternative per mac a File Spy?...

Sì, certo.

Solo che File Spy, per chi ha la fortuna di averlo, è semplicissimo ed immediato.
E fa solo quello.

C'è Pacifist, ci sono tanti lettori di metadati, ci sono Finder e le informazioni del Finder