Mi padre se lamentaba de cómo aparecerían anuncios aleatorios incluso con Adblock y mientras navegaba en sitios web de confianza y cómo Firefox siempre estaba encendido al iniciar su computadora OSX (con todas las actualizaciones de software correctamente) desde el día en que lo instaló.
Naturalmente, verifiqué System Preferences > Users Accounts > Login items
y en el icono de la base de Firefox Firefox > Open at login
No había nada ...
Así que me moví a ~/Library/LaunchAgents
donde, para mi sorpresa, encontré muchos archivos que apuntan a virus obvios. Por ejemplo, uno de los archivos se llamó com.apple.roinnris.plist
y apuntaba a un ejecutable que, en una ventana de Terminal, se comportaba así:
Last login: Mon Jun 26 18:36:28 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/roinnris ; exit;
1.3.4: Initializing... roinnris
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_5a01fc
snowbitt
_Bt3mBZUrWFiQtw-o265327tVlFLedwV5m3RbDQqoTNF34tnUYs4T2-Z-0Vh_ot2iQz9QcQstVbDfh_GhqMjQkak68EeUespftvJPjZ5LY1FbyK8tuMM
nth
convertFile - /Users/gianni/Library/backup.zip to /Users/gianni/Library/backup.tmp
Ping-"http://t.trkitok.com/track/surl?mid=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&ht=???ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ڌ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ތ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ٌ???ϗ?????˚??ɠ???????ޠ??ޙ??????????݇Ř???????????????Ǚ????????왞????ٞ??????????ޘ??Г??????????????????????????????????????????????? ?&nt=&su="
Aquí hay otro:
Last login: Mon Jun 26 18:28:48 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/sfhucvkzeooa/sfhucvkzeooa ; exit;
2017-06-26 18:33:10.535 sfhucvkzeooa[10383:98510] http://i.firstinstallmac.club/c/cc?id=
/bin/sh: line 50: /Library/pfutil: Permission denied
Y otro (que originalmente estaba en la Biblioteca pero me moví al escritorio):
Last login: Mon Jun 26 18:33:10 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Desktop/VirusReportStackExchange/jaLeQGoJ/jaLeQGoJ.app/Contents/MacOS/jaLeQGoJ ; exit;
2017-06-26 18:34:37.327 jaLeQGoJ[12743:122843] Found it
Y otro, con mensajes de error en el idioma principal del usuario (italiano):
Last login: Mon Jun 26 18:34:36 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/subtlist/subtlist ; exit;
2017-06-26 18:35:08.919 subtlist[13656:131528] gianni
2017-06-26 18:35:08.920 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M D"1!$<*<!,8#6+'=*&<$D"?28?&<!!$9$
2017-06-26 18:35:08.921 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M D"1!$<*<!,8#6+'=*&<$UD"?28?&<%6%?&07.M
N('**-,0*'5&&!'6_
N0>*<!,*,<7'.M
N('**-,!.8)6= .6_
N('**-,'"&<*'2&;$_"52 ?4;07.MN('**-,'*,&07.MN('**-, >)&07.M
V"52 ?4<+!<96_N0'8*',-*5512( $
2017-06-26 18:35:08.921 subtlist[13656:131528] (#-.<=,7$&80=.
2017-06-26 18:35:08.921 subtlist[13656:131528] (>*(10=6"/$
2017-06-26 18:35:08.921 subtlist[13656:131528] (#*9-76!($7?:46
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&&!'6
2017-06-26 18:35:08.921 subtlist[13656:131528] (19$.*6!4816!'%*4<.
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&24.%-$
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&6%.%-&:76
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&02''&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&!68;67 66
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&& .9&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&1:/6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&'2,40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-& &)40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&':&.*-2>;6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&6!9$+$
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&52'';8086
2017-06-26 18:35:08.922 subtlist[13656:131528] (&*4,+?.
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?
\&&/
2017-06-26 18:35:08.924 subtlist[13656:131528] Invalid chrome version
2017-06-26 18:35:08.929 subtlist[13656:131528] 5a01fca9-d552-45e9-a47c-f34d2a14e626
2017-06-26 18:35:08.958 subtlist[13656:131528] C26849F2-0F50-5495-9FBB-9269DCE9EDA1
2017-06-26 18:35:08.958 subtlist[13656:131528] upd
2017-06-26 18:35:08.958 subtlist[13656:131528] 'http://www.google.com'
2017-06-26 18:35:08.958 subtlist[13656:131528] 99999999
2017-06-26 18:35:08.958 subtlist[13656:131528] http://loadingpages.me/jo/is?id=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&d=5a01fca9-d552-45e9-a47c-f34d2a14e626&cl=upd
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
Luego me moví a la Biblioteca principal (no a la del usuario) en /Library/LaunchAgents
y /Library/LaunchDaemon
donde había más de estos archivos de plist que apuntaban a ejecutables incompletos, uno de los cuales estaba simplemente activando Firefox e intentando comprimir y robar una carpeta de su espacio ApplicationSupport
.
Descubrí el contenido de todas estas carpetas y le pedí que nunca usara la computadora para realizar transacciones bancarias hasta que se realice una limpieza completa.
Todos estos archivos tenían al menos 1 mes de antigüedad.
Mis preguntas son:
¿Apple ya conoce estos virus? En caso afirmativo, ¿dónde puedo leer más y por qué no se eliminaron automáticamente con las actualizaciones de seguridad? Si no, ¿quién tiene más información? ¿Dónde se supone que debo notificar a Apple de la existencia de estos?