在运行macOS Sierra的计算机上发现旧病毒:现在该怎么办?

3

我的父亲感叹,即使使用adblock也可以弹出随机广告,同时浏览可信赖的网站,以及自从他安装iPhone之后,Firefox在他的OSX计算机上启动时的状态(所有软件更新都正确)。

我自然检查System Preferences > Users Accounts > Login items了Firefox底座图标Firefox > Open at login。什么都没有......

所以~/Library/LaunchAgents我感到惊讶,我发现许多文件指向明显的病毒。例如,一个文件被命名com.apple.roinnris.plist并指向一个可执行文件,在终端窗口中,它的行为如下:

Last login: Mon Jun 26 18:36:28 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/roinnris ; exit;
1.3.4: Initializing... roinnris
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_5a01fc
snowbitt
_Bt3mBZUrWFiQtw-o265327tVlFLedwV5m3RbDQqoTNF34tnUYs4T2-Z-0Vh_ot2iQz9QcQstVbDfh_GhqMjQkak68EeUespftvJPjZ5LY1FbyK8tuMM
nth

convertFile - /Users/gianni/Library/backup.zip to /Users/gianni/Library/backup.tmp
Ping-"http://t.trkitok.com/track/surl?mid=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&ht=???ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ڌ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ތ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ٌ???ϗ?????˚??ɠ???????ޠ??ޙ??????????݇Ř???????????????Ǚ????????왞????ٞ??????????ޘ??Г??????????????????????????????????????????????? ?&nt=&su="

这是另一个:

Last login: Mon Jun 26 18:28:48 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/sfhucvkzeooa/sfhucvkzeooa ; exit;
2017-06-26 18:33:10.535 sfhucvkzeooa[10383:98510] http://i.firstinstallmac.club/c/cc?id=
/bin/sh: line 50: /Library/pfutil: Permission denied

另一个(最初在图书馆,但我移动到桌面):

Last login: Mon Jun 26 18:33:10 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Desktop/VirusReportStackExchange/jaLeQGoJ/jaLeQGoJ.app/Contents/MacOS/jaLeQGoJ ; exit;
2017-06-26 18:34:37.327 jaLeQGoJ[12743:122843] Found it

另一个,用户主要语言(意大利语)中的错误消息:

Last login: Mon Jun 26 18:34:36 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/subtlist/subtlist ; exit;
2017-06-26 18:35:08.919 subtlist[13656:131528] gianni
2017-06-26 18:35:08.920 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$D"?28?&<!!$9$
2017-06-26 18:35:08.921 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$UD"?28?&<%6%?&07.M
                                                                     N('**-,0*'5&&!'6_
      N0>*<!,*,<7'.M
                    N('**-,!.8)6= .6_
N('**-,'"&<*'2&;$_"52 ?4;07.MN('**-,'*,&07.MN('**-, >)&07.M
                 V"52 ?4<+!<96_N0'8*',-*5512( $
2017-06-26 18:35:08.921 subtlist[13656:131528] (#-.<=,7$&80=.
2017-06-26 18:35:08.921 subtlist[13656:131528] (>*(10=6"/$
2017-06-26 18:35:08.921 subtlist[13656:131528] (#*9-76!($7?:46
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&&!'6
2017-06-26 18:35:08.921 subtlist[13656:131528] (19$.*6!4816!'%*4<.
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&24.%-$
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&6%.%-&:76
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&02''&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&!68;67 66
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&& .9&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&1:/6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&'2,40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-& &)40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&':&.*-2>;6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&6!9$+$
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&52'';8086
2017-06-26 18:35:08.922 subtlist[13656:131528] (&*4,+?.
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/



2017-06-26 18:35:08.924 subtlist[13656:131528] Invalid chrome version
2017-06-26 18:35:08.929 subtlist[13656:131528] 5a01fca9-d552-45e9-a47c-f34d2a14e626
2017-06-26 18:35:08.958 subtlist[13656:131528] C26849F2-0F50-5495-9FBB-9269DCE9EDA1
2017-06-26 18:35:08.958 subtlist[13656:131528] upd
2017-06-26 18:35:08.958 subtlist[13656:131528] 'http://www.google.com'
2017-06-26 18:35:08.958 subtlist[13656:131528] 99999999
2017-06-26 18:35:08.958 subtlist[13656:131528] http://loadingpages.me/jo/is?id=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&d=5a01fca9-d552-45e9-a47c-f34d2a14e626&cl=upd
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)

然后我移动到主库(而不是用户的一个)/Library/LaunchAgents,并/Library/LaunchDaemon在那里有更多的指向粗略的这些可执行文件的plist,其中之一是上转向clearely Firefox和试图压缩和窃取的文件夹,从它的ApplicationSupport空间。

我查看了所有这些文件夹的内容,并指示在完成擦除之前不要使用计算机进行存储。

所有这些文件至少有一个月的历史。

我的问题是:

这些病毒是否已为Apple所知?如果是,我在哪里可以阅读更多内容,为什么它们不会通过安全更新自动删除?如果没有,谁有更多的信息?我应该在哪里通知Apple这些存在的存在?

sierra  firefox  virus 
Saturnix
source
你想要攻击的第一个问题是哪一个?这更像是咨询服务。细节方面的伟大工作 - 一旦我们明确了许多主题中的哪一个,这将有所帮助。一旦你得到第一个答案,我们就可以考虑跟进问题。
bmike
请添加系统版本!另外:恶意文件并不意味着以某种自杀方式执行!您可以在受保护的VM中执行此操作...而是发布启动守护程序/代理程序的plist的内容,并将可执行文件上载到virustotal或类似的内容。
klanomath
我的问题只是一个问题:Apple的政策是什么?如果答案是否定的,那么我有多个问题,可以粗略地概括为“实际的f-k是什么?” 太多的要点被攻击为一个问题。
Saturnix
版本是上次更新的Sierra。这些文件已经被执行,这台计算机无论如何都要被修复。
Saturnix

Answers:

1

Apple联系选项列在https://www.apple.com/contact/上。安全更新正在为已知的安全问题提供补丁,它们通常不会从已感染的系统中删除病毒/恶意软件。

由于可疑文件已经消失,因此无法分析父亲计算机发生的情况,因此您可以继续前进并从头开始重新安装所有内容。使用Internet Recovery降低受感染恢复分区还原的风险可能是最安全的。

nohillside
source
我仍然拥有大部分可执行文件。现在将它们转发给Apple ...希望我能找到时间来拆卸和分析它们。
Saturnix
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.