Shlayer e varianti - Altro adware-malware per macOS

[Paolofast]

Al di là dei vari tools di protezione, si è capito se MacOs 10.14.4 e gli aggiornamenti di sicurezza per Sierra e High Sierra lo bloccano?
Si ha notizia di un'eventuale lista di file da eliminare per eradicarlo?

[faxus]

Al di là dei vari tools di protezione, si è capito se MacOs 10.14.4 e gli aggiornamenti di sicurezza per Sierra e High Sierra lo bloccano?
Si ha notizia di un'eventuale lista di file da eliminare per eradicarlo?

Gli ultimi aggiornamenti di sicurezza in teoria dovrebbero bloccare il meccanismo di scarico ed espansione dello script.

Ma Apple non rilascia mai i particolare degli aggiornamenti di sicurezza.
Né indica quali patch aggiunge alle impostazioni di sistema.

La lista dei file in parte è nota.
Ma in parte non può esserlo perché vengono generati con un nome casuali.
Nomi che, come in Pirrit, vengono presi da dizionari di botanica, chimica o medicina.
Altri ancora identificati con caratteri alfanumerici casuali.

La soluzione c'è, per fare uno script, presupponendo solo che Apple abbia inserito la patch nell'aggiornamento.
E che l'utente l'abbia eseguito.
Poi bisognerebbe inserire standard un elenco dei nomi conosciuti.
E una selezione manuale dei file sconosciuti.

Quest'ultima potrebbe anche essere basata sulla una lista bianca.
Assumendola da Santa, da EtreCheck o del vecchio AdwareMedic aggiornato e parte di Malwarebytes.

Ho provato a farlo, grossolanamente, per cautela.
E non ha funzionato perché non ho potuto individuare tutti gli elementi nei documenti nascosti dell'utente.
E forse tra questi, ammesso che sia possibile, è il file mobile di auto replica.

Quindi, a mio parere e fino a quando non venga trovato uno script funzionante, resta solo la reinstallazione pulita.

Fare uno script che vada a raschiare nei /private/var rischia la corruzione e la successiva reinstallazione del sistema.
Come successe a me quando ne testai uno modificato da me, di uno inutile che girava in rete per Pirrit...

[RickS]

... prima di installarlo, vorrei capire cosa comporti la disabilitazione della NVRAM protections...

Disabilita il SIP.

L'avevo supposto, francamente trovo un po' un controsenso che un programma che dovrebbe aumentare la sicurezza di OSX per funzionare debba eliminare una delle componenti della sicurezza di OS X creata proprio da Apple.
D'altra parte è comunque un programma in beta quindi ci può anche stare.

Per ora mi limiterò ad usare BlockBlock

... Per quanto riguarda File Spy, mi sai dire qualcosa ?...

Questo? >>> https://www.macupdate.com/app/mac/54950/file-spy

Io posso dirti che l'ho appena disinstallato, non serviva a un tubo e rompeva pure le scatole (e ho l'impressione che pure gli sviluppatori abbiano deciso di rottamarlo)

Quando provo a scaricarlo, mi apre App Store e poi mi dice che non è disponibile nel mio paese o nella mia area geografica.

.......

Ti sconsiglio di scaricarlo da Macupdate perché quel sito saltuariamente inserisce software indesiderato in bundle nei download.
(o perlomeno lo ha fatto in passato)

Per fortuna l'ha fatto per un brevissimo periodo diversi anni fa, e solo per chi non era abbonato al loro servizio, visto la pioggia di critiche che ricevette fecero marcia indietro quasi subito, lo so perché all'epoca ero abbonato al loro servizio, e lo sono tutt'ora.
Su MacUpdate comunque c'è solo il link ad App Store, quindi il problema rimane.

[Zacksit]

Apple ha smesso di pubblicare gli aggiornamenti di sicurezza per El Capitan?

[faxus]

Apple ha smesso di pubblicare gli aggiornamenti di sicurezza per El Capitan?

Sì.

Ne parlavamo con Jethro, qui:
https://www.imaccanici.org/forum/viewto ... 65#p497656

[faxus]

... Per quanto riguarda File Spy... Su MacUpdate comunque c'è solo il link ad App Store, quindi il problema rimane.

C'è anche qui sul Forum (ma non ricordo dove...).
Lo ha messo Fragrua...

Aspetta che lo indichi lui.
O che lo trovo

[Zacksit]

Grazie per tutto ƒaxus!
Facendo una ricerca di Shlayer sul sito di Carbon Black che hai indicato, oltre all'articolo che hai citato, potrebbe interessare che è saltato fuori anche un annuncio su un webinar per il 4 aprile dove analizzeranno a fondo Shlayer. Il webinar è intitolato Dissecting Shlayer Malware via MITRE ATT&CK™
https://www.carbonblack.com/resource/di ... re-attack/

[faxus]

Grazie per tutto ƒaxus!
Facendo una ricerca di Shlayer sul sito di Carbon Black che hai indicato, oltre all'articolo che hai citato, potrebbe interessare che è saltato fuori anche un annuncio su un webinar per il 4 aprile dove analizzeranno a fondo Shlayer. Il webinar è intitolato Dissecting Shlayer Malware via MITRE ATT&CK™
https://www.carbonblack.com/resource/di ... re-attack/

Grazie, ottimo.

Sono anche iscritto su Webinar, dovrei comunque accedere agli atti

[Kernel Panic]

.... Il che significa che non posso usare SIMBL, brew, GeekTool ecc.

Non so se ho capito bene ma io uso brew, lo aggiorno regolarmente e non ho mai disabilitato SIP .....

.... È, effettivamente, un modo piuttosto disinvolto, insieme al disattivare il Gatekeeper, di usare il sistema.
Ma appunto per quello che uso tutti questi strumenti di protezione.

Piuttosto disinvolto?
Scusa ma, se la racconti così ..... che bisogno c'è di complicarsi la vita in questo modo? Non disabilitare nulla e non avrai bisogno di installare nulla .....

[faxus]

... io uso brew, lo aggiorno regolarmente e non ho mai disabilitato SIP ...

Sì e no.

L'avevo spiegato qui:
viewtopic.php?f=33&t=31583&start=45#p389878

Devi comunque applicare alcuni permessi.
Per avere piena funzionalità è meglio disabilitare il SIP.

In ogni caso (pur se resta un parere) chi usa brew è un esperto.
E un macuser esperto non ha bisogno del SIP

... che bisogno c'è di complicarsi la vita in questo modo? Non disabilitare nulla e non avrai bisogno di installare nulla ...

Chi ha parlato di bisogni?...

Non c'è nessun bisogno di divertirsi, nella vita.
Non c'è nessun bisogno di divertirsi col Mac.

Si può benissimo morire di noia

[Kernel Panic]

Chi ha parlato di bisogni?...

Non c'è nessun bisogno di divertirsi, nella vita.
Non c'è nessun bisogno di divertirsi col Mac.

Si può benissimo morire di noia

Chiarissimo e condivisibile

[Kernel Panic]

Vedo solo adesso che anche il supporto Apple si è occupato in passato del problema, è evidente che questo tipo di malware cambia continuamente nome e forma:

>>> https://support.apple.com/en-us/HT202225

>>> https://support.apple.com/it-it/HT202225

Mi era sfuggito anche il topic e l'articolo dell'admin

>>> viewtopic.php?p=108485

>>> https://www.imaccanici.org/rimuovere-macdefender/

[faxus]

... anche il supporto Apple si è occupato in passato del problema...

Non è così, questo è un'altra cosa.

È un derivato di Pirrit, non di MacDefender.
Proprio per differenze strutturali.

Ed una sostanziale differenza, la capacità di autoreplicarsi.
Più tenace di Pirrit, ma meno pericoloso perché non fabbrica nuovi utenti.

Però, per favore, continuiamo nella discussione apposita su Shlayer.
Dove sarebbe bene spostare questo e il penultimo post

[memi]

ciao a tutti

sono un povero utente Mac da diversi anni e oggi, dopo aver notato notevoli rallentamenti, ho deciso di controllare quale fosse la causa, trovando l'inaspettato systemExtr tra i processi del sistema... caracollando un po' sul network per trovare qualche risposta mi sono imbattuto in questa discussione ( in realtà prima in quella a questo link https://www.imaccanici.org/forum/viewto ... =9&t=44712)... dato che però non sono certo di cosa sto dicendo e mi sembra che tutti quanti qua ne sappiano 10 volte me, c'è qualcosa che potrei non aver considerato o qualche soluzione alternativa trovata nel frattempo che mi sono perso nel frattempo che potrebbe risolvere il mio problema senza dover reinstallare MacOS??

grazie in anticipo

[Kundalini]

ciao a tutti

... c'è qualcosa che potrei non aver considerato o qualche soluzione alternativa trovata nel frattempo che mi sono perso nel frattempo che potrebbe risolvere il mio problema senza dover reinstallare MacOS??

grazie in anticipo

Ciao e benvenuto, temo che se si tratta effettivamente di Shlayer non ci siano altre soluzioni oltre a reinstallare.
Prova prima a far girare DetectX, col suo search ed eventualmente carica un suo resoconto così possiamo dargli uno sguardo.

https://sqwarq.com/detectx/

C'è la versione free, non a pagamento, è sufficiente quella.