3 votos

MatthewFord avatar

Se han encontrado virus antiguos en un ordenador con macOS Sierra: ¿qué hacer ahora?

Preguntado el 26 de Junio, 2017
Cuando se hizo la pregunta
230 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Mi padre se lamenta de que aparezcan anuncios aleatorios incluso con adblock y mientras navega por sitios web de confianza, y de que Firefox se active siempre al inicio en su ordenador OSX (con todas las actualizaciones de software correctamente activadas) desde el día en que lo instaló.

Naturalmente, he comprobado System Preferences > Users Accounts > Login items y en el icono del dock de Firefox Firefox > Open at login . No había nada...

Así que me trasladé a ~/Library/LaunchAgents donde para mi sorpresa he encontrado muchos archivos que apuntan a virus evidentes. Por ejemplo, uno de los archivos se llamaba com.apple.roinnris.plist y apuntaba a un ejecutable que, en una ventana de Terminal, se comportaba así:

Last login: Mon Jun 26 18:36:28 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/roinnris ; exit;
1.3.4: Initializing... roinnris
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_5a01fc&_=tt1
http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_5a01fc
snowbitt
_Bt3mBZUrWFiQtw-o265327tVlFLedwV5m3RbDQqoTNF34tnUYs4T2-Z-0Vh_ot2iQz9QcQstVbDfh_GhqMjQkak68EeUespftvJPjZ5LY1FbyK8tuMM
nth

convertFile - /Users/gianni/Library/backup.zip to /Users/gianni/Library/backup.tmp
Ping-"http://t.trkitok.com/track/surl?mid=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&ht=???ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ڌ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ތ???ϗ?????????˚??Ɍ???ޛ????ڐ?????΄???????ބ??Dž?????????ؗ??????Č?ٗ?ӌ????????Η??????????????????ϗ?ٌ???ϗ?????˚??ɠ???????ޠ??ޙ??????????݇Ř???????????????Ǚ????????왞????ٞ??????????ޘ??Г??????????????????????????????????????????????? ?&nt=&su="

Aquí hay otra:

Last login: Mon Jun 26 18:28:48 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/sfhucvkzeooa/sfhucvkzeooa ; exit;
2017-06-26 18:33:10.535 sfhucvkzeooa[10383:98510] http://i.firstinstallmac.club/c/cc?id=
/bin/sh: line 50: /Library/pfutil: Permission denied

Y otra (que originalmente estaba en la Biblioteca pero la trasladé al escritorio):

Last login: Mon Jun 26 18:33:10 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Desktop/VirusReportStackExchange/jaLeQGoJ/jaLeQGoJ.app/Contents/MacOS/jaLeQGoJ ; exit;
2017-06-26 18:34:37.327 jaLeQGoJ[12743:122843] Found it

Y otro, con mensajes de error en el idioma principal del usuario (italiano):

Last login: Mon Jun 26 18:34:36 on ttys000
Pro-di-Gianni:~ gianni$ /Users/gianni/Library/subtlist/subtlist ; exit;
2017-06-26 18:35:08.919 subtlist[13656:131528] gianni
2017-06-26 18:35:08.920 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$D"?28?&<!!$9$
2017-06-26 18:35:08.921 subtlist[13656:131528] V\(;-<<7,/$48:=6D\TN(&*:1:=."=$UV0)8!'%.+:<=-">$UV", 694,+?.M    D"1!$<*<!,8#6+'=*&<$UD"?28?&<%6%?&07.M
                                                                     N('**-,0*'5&&!'6_
      N0>*<!,*,<7'.M
                    N('**-,!.8)6= .6_
N('**-,'"&<*'2&;$_"52 ?4;07.MN('**-,'*,&07.MN('**-, >)&07.M
                 V"52 ?4<+!<96_N0'8*',-*5512( $
2017-06-26 18:35:08.921 subtlist[13656:131528] (#-.<=,7$&80=.
2017-06-26 18:35:08.921 subtlist[13656:131528] (>*(10=6"/$
2017-06-26 18:35:08.921 subtlist[13656:131528] (#*9-76!($7?:46
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&&!'6
2017-06-26 18:35:08.921 subtlist[13656:131528] (19$.*6!4816!'%*4<.
2017-06-26 18:35:08.921 subtlist[13656:131528] (&8.+&24.%-$
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&6%.%-&:76
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&02''&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&!68;67 66
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&& .9&,!?6
2017-06-26 18:35:08.921 subtlist[13656:131528] (?*8-&1:/6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&'2,40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-& &)40=.
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&':&.*-2>;6
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&6!9$+$
2017-06-26 18:35:08.922 subtlist[13656:131528] (?*8-&52'';8086
2017-06-26 18:35:08.922 subtlist[13656:131528] (&*4,+?.
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/
2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/

2017-06-26 18:35:08.922 subtlist[13656:131528] \?   

\&&/
017-06-26 18:35:08.922 subtlist[13656:131528] \?    

\&&/

2017-06-26 18:35:08.924 subtlist[13656:131528] Invalid chrome version
2017-06-26 18:35:08.929 subtlist[13656:131528] 5a01fca9-d552-45e9-a47c-f34d2a14e626
2017-06-26 18:35:08.958 subtlist[13656:131528] C26849F2-0F50-5495-9FBB-9269DCE9EDA1
2017-06-26 18:35:08.958 subtlist[13656:131528] upd
2017-06-26 18:35:08.958 subtlist[13656:131528] 'http://www.google.com'
2017-06-26 18:35:08.958 subtlist[13656:131528] 99999999
2017-06-26 18:35:08.958 subtlist[13656:131528] http://loadingpages.me/jo/is?id=C26849F2-0F50-5495-9FBB-9269DCE9EDA1&d=5a01fca9-d552-45e9-a47c-f34d2a14e626&cl=upd
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)
227:230: syntax error: Si attendeva fine linea ma è stato trovato proprietà. (-2741)

A continuación, me trasladé a la Biblioteca principal (no la del usuario) en /Library/LaunchAgents y /Library/LaunchDaemon donde había más de estos archivos plist apuntando a ejecutables incompletos, uno de los cuales claramente estaba encendiendo Firefox y tratando de comprimir y robar una carpeta de su ApplicationSupport espacio.

He borrado el contenido de todas estas carpetas y he dado instrucciones de no volver a utilizar el ordenador para realizar operaciones bancarias hasta que se realice un borrado completo.

Todos estos archivos tenían al menos un mes de antigüedad.

Mis preguntas son:

¿Son estos virus ya conocidos por Apple? Si es así, ¿dónde puedo leer más y por qué no se eliminaron automáticamente con las actualizaciones de seguridad? Si no, ¿quién tiene más información? ¿Dónde se supone que debo notificar a Apple de la existencia de estos?

Preguntado el 26 de Junio, 2017 por MatthewFord

Respuesta

¿Demasiados anuncios?

2voto

Matthew A. Flinchbaugh avatar
Matthew A. Flinchbaugh Puntos 41

Las opciones de contacto de Apple aparecen en https://www.apple.com/contact/ . Las actualizaciones de seguridad proporcionan parches para los problemas de seguridad conocidos, normalmente lo hacen no eliminar los virus/malware de un sistema ya infectado.

Con los archivos sospechosos ya desaparecidos no hay forma de analizar lo que ha pasado con el ordenador de tu padre, así que lo mejor es que sigas adelante y reinstales todo desde cero. Probablemente lo más seguro sea utilizar Internet Recovery para reducir el riesgo de restaurar desde una partición de recuperación infectada.

Respondido el 26 de Junio, 2017 por Matthew A. Flinchbaugh (41 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X