Se encontraron virus antiguos en una computadora que ejecuta macOS Sierra: ¿qué hacer ahora?

3

Mi padre se lamentaba de cómo aparecerían anuncios aleatorios incluso con Adblock y mientras navegaba en sitios web de confianza y cómo Firefox siempre estaba encendido al iniciar su computadora OSX (con todas las actualizaciones de software correctamente) desde el día en que lo instaló.

Naturalmente, verifiqué System Preferences > Users Accounts > Login items y en el icono de la base de Firefox Firefox > Open at login No había nada ...

Así que me moví a ~/Library/LaunchAgents donde, para mi sorpresa, encontré muchos archivos que apuntan a virus obvios. Por ejemplo, uno de los archivos se llamó com.apple.roinnris.plist y apuntaba a un ejecutable que, en una ventana de Terminal, se comportaba así:

Last login: Mon Jun 26 18:36:28 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/roinnris ; exit;
1.3.4: Initializing... roinnris
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_5a01fc
snowbitt
_Bt3mBZUrWFiQtw-o265327tVlFLedwV5m3RbDQqoTNF34tnUYs4T2-Z-0Vh_ot2iQz9QcQstVbDfh_GhqMjQkak68EeUespftvJPjZ5LY1FbyK8tuMM
nth

convertFile - /Users/gianni/Library/backup.zip to /Users/gianni/Library/backup.tmp
Ping-"http://t.trkitok.com/track/surl?mid=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&ht=???ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ڌ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ތ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ٌ???ϗ?????˚??ɠ???????ޠ??ޙ??????????݇Ř???????????????Ǚ????????왞????ٞ??????????ޘ??Г??????????????????????????????????????????????? ?&nt=&su="

Aquí hay otro:

Last login: Mon Jun 26 18:28:48 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/sfhucvkzeooa/sfhucvkzeooa ; exit;
2017-06-26 18:33:10.535 sfhucvkzeooa[10383:98510] http://i.firstinstallmac.club/c/cc?id=
/bin/sh: line 50: /Library/pfutil: Permission denied

Y otro (que originalmente estaba en la Biblioteca pero me moví al escritorio):

Last login: Mon Jun 26 18:33:10 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Desktop/VirusReportStackExchange/jaLeQGoJ/jaLeQGoJ.app/Contents/MacOS/jaLeQGoJ ; exit;
2017-06-26 18:34:37.327 jaLeQGoJ[12743:122843] Found it

Y otro, con mensajes de error en el idioma principal del usuario (italiano):

Last login: Mon Jun 26 18:34:36 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/subtlist/subtlist ; exit;
2017-06-26 18:35:08.919 subtlist[13656:131528] gianni
2017-06-26 18:35:08.920 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$D"?28?&<!!$9$
2017-06-26 18:35:08.921 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$UD"?28?&<%6%?&07.M
                                                                     N('**-,0*'5&&!'6_
      N0>*<!,*,<7'.M
                    N('**-,!.8)6= .6_
N('**-,'"&<*'2&;$_"52 ?4;07.MN('**-,'*,&07.MN('**-, >)&07.M
                 V"52 ?4<+!<96_N0'8*',-*5512( $
2017-06-26 18:35:08.921 subtlist[13656:131528] (#-.<=,7$&80=.
2017-06-26 18:35:08.921 subtlist[13656:131528] (>*(10=6"/$
2017-06-26 18:35:08.921 subtlist[13656:131528] (#*9-76!($7?:46
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&&!'6
2017-06-26 18:35:08.921 subtlist[13656:131528] (19$.*6!4816!'%*4<.
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&24.%-$
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&6%.%-&:76
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&02''&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&!68;67 66
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&& .9&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&1:/6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&'2,40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-& &)40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&':&.*-2>;6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&6!9$+$
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&52'';8086
2017-06-26 18:35:08.922 subtlist[13656:131528] (&*4,+?.
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/



2017-06-26 18:35:08.924 subtlist[13656:131528] Invalid chrome version
2017-06-26 18:35:08.929 subtlist[13656:131528] 5a01fca9-d552-45e9-a47c-f34d2a14e626
2017-06-26 18:35:08.958 subtlist[13656:131528] C26849F2-0F50-5495-9FBB-9269DCE9EDA1
2017-06-26 18:35:08.958 subtlist[13656:131528] upd
2017-06-26 18:35:08.958 subtlist[13656:131528] 'http://www.google.com'
2017-06-26 18:35:08.958 subtlist[13656:131528] 99999999
2017-06-26 18:35:08.958 subtlist[13656:131528] http://loadingpages.me/jo/is?id=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&d=5a01fca9-d552-45e9-a47c-f34d2a14e626&cl=upd
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)

Luego me moví a la Biblioteca principal (no a la del usuario) en /Library/LaunchAgents y /Library/LaunchDaemon donde había más de estos archivos de plist que apuntaban a ejecutables incompletos, uno de los cuales estaba simplemente activando Firefox e intentando comprimir y robar una carpeta de su espacio ApplicationSupport .

Descubrí el contenido de todas estas carpetas y le pedí que nunca usara la computadora para realizar transacciones bancarias hasta que se realice una limpieza completa.

Todos estos archivos tenían al menos 1 mes de antigüedad.

Mis preguntas son:

¿Apple ya conoce estos virus? En caso afirmativo, ¿dónde puedo leer más y por qué no se eliminaron automáticamente con las actualizaciones de seguridad? Si no, ¿quién tiene más información? ¿Dónde se supone que debo notificar a Apple de la existencia de estos?

    
pregunta Saturnix 26.06.2017 - 19:23

1 respuesta

1
Las

opciones de contacto de Apple se enumeran en enlace . Las actualizaciones de seguridad proporcionan parches a problemas de seguridad conocidos, por lo general no eliminan virus / malware de sistemas ya infectados.

Con los archivos sospechosos ya desaparecidos, no hay forma de analizar lo que pasó con la computadora de tu padre, por lo que también puedes seguir adelante y reinstalar todo desde cero. Probablemente sea más seguro usar la recuperación de Internet para reducir el riesgo de restauración desde una partición de recuperación infectada.

    
respondido por el nohillside 26.06.2017 - 20:37

Lea otras preguntas en las etiquetas