Paolofast ha scritto: ↑mer, 27 mar 2019 10:08
Al di là dei vari tools di protezione, si è capito se MacOs 10.14.4 e gli aggiornamenti di sicurezza per Sierra e High Sierra lo bloccano?
Si ha notizia di un'eventuale lista di file da eliminare per eradicarlo?
Gli ultimi aggiornamenti di sicurezza in teoria dovrebbero bloccare il meccanismo di scarico ed espansione dello script.
Ma Apple non rilascia mai i particolare degli aggiornamenti di sicurezza.
Né indica quali patch aggiunge alle impostazioni di sistema.
La lista dei file in parte è nota.
Ma in parte non può esserlo perché vengono generati con un nome casuali.
Nomi che, come in Pirrit, vengono presi da dizionari di botanica, chimica o medicina.
Altri ancora identificati con caratteri alfanumerici casuali.
La soluzione c'è, per fare uno script, presupponendo solo che Apple abbia inserito la patch nell'aggiornamento.
E che l'utente l'abbia eseguito.
Poi bisognerebbe inserire standard un elenco dei nomi conosciuti.
E una selezione manuale dei file sconosciuti.
Quest'ultima potrebbe anche essere basata sulla una lista bianca.
Assumendola da Santa, da EtreCheck o del vecchio AdwareMedic aggiornato e parte di Malwarebytes.
Ho provato a farlo, grossolanamente, per cautela.
E non ha funzionato perché non ho potuto individuare tutti gli elementi nei documenti nascosti dell'utente.
E forse tra questi, ammesso che sia possibile, è il file mobile di auto replica.
Quindi, a mio parere e fino a quando non venga trovato uno script funzionante, resta solo la reinstallazione pulita.
Fare uno script che vada a raschiare nei /private/var rischia la corruzione e la successiva reinstallazione del sistema.
Come successe a me quando ne testai uno modificato da me, di uno inutile che girava in rete per Pirrit...