1 votos

aaronheid avatar

Abrió un archivo zip en un correo electrónico no deseado que creó una carpeta en la carpeta / net

Preguntado el 17 de Julio, 2019
Cuando se hizo la pregunta
138 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Me abrió accidentalmente un archivo zip de un correo electrónico de spam. Hay un archivo de texto en el archivo zip que también he hecho clic en para ver. Más tarde, he comprobado que este archivo tiene el siguiente contenido:

/net/us.e-fax.org/nfs/Documents

Esto ha creado un Archivados.aplicación en la carpeta root /net/nosotros.e-fax.org/nfs/Documentos a los que puedo acceder desde mi navegador. Ahora estoy un poco asustado de que podría ser algún tipo de spyware/keylogger o algo que puede leer mis archivos, etc. He probado a quitar la carpeta us.e-fax.org en la /carpeta de red, pero sólo fui capaz de quitar al desmontaje de la /carpeta de red. ¿Cómo puedo limpiar mi sistema a partir de esta plaga?

Preguntado el 17 de Julio, 2019 por aaronheid

Respuesta

¿Demasiados anuncios?

1voto

Nate avatar
Nate Puntos 220

Esto suena como alguien que está tratando de utilizar la misma seguridad de bypass como OSX/Enlazador (Intego, ZDNet). Es un bug en el Gatekeeper descubierto originalmente por Filippo Cavallarin. La forma en que funciona es que si el acceso /net/<someservername>/<somepath>, macOS montará automáticamente ese servidor a través de NFS y darle acceso directo a los archivos almacenados allí. A diferencia de la mayoría de las formas de descarga de red, los archivos que se obtienen de este modo, no se consideran en cuarentena, y por lo tanto no tienen la costumbre de las comprobaciones de seguridad macOS se aplica a los archivos descargados.

Primer paso: eliminar el archivo zip y lo amplió en.

Segundo paso: desmontar el volumen remoto con sudo umount /net/us.e-fax.org/nfs/Documents. Parece que ya he desmontado todo /net` directorio sin embargo, lo que debe tener cuidado de esto (y no debería causar otros problemas).

Tercer paso: he comprobado Archivados.de la aplicación, y es, actualmente, sólo una cáscara vacía. Pero su tiempo de modificación está a sólo un par de horas atrás, por lo que fácilmente podría haber tenido contenido malicioso antes, y el engaño el archivo zip que se usa para montar también podría haber sido utilizado para su lanzamiento. Así que... no tenemos idea de lo que (si acaso) es posible que hayas hecho a tu equipo.

Así, es necesario analizar el Mac para cualquier malware que pueda haber instalado. Usted puede obtener de Intego VirusBarrier Escáner desde la Mac App Store, y Malwarebytes escáner aquí. Ya que no tengo idea de lo que (si acaso) lo hizo, yo no puedo hacer recomendaciones específicas.

Cuarto paso (opcional, véase el "Potencial de mitigación" parte de la Intego artículo): puede desactivar el automount mecanismo que hizo que esta derivación posible editando el archivo /etc/auto_master en un editor de texto (recomiendo BBEdit -- es ideal para este tipo de cosas, incluso en gratis/modo de demostración), y la adición de "#" al principio de la línea que comienza con "/net". Usted puede hacer esto desde la Terminal con el comando:

sudo sed -i.orig 's@^/net@#/net@' /etc/auto_master

Asegúrese de copiar este comando exactamente; cualquier errores (incluyendo incluso el tipo equivocado de comillas) podría causar problemas. Tenga en cuenta que te pedirá tu contraseña de administrador, pero la contraseña no se mostrará como se escriba.

Respondido el 17 de Julio, 2019 por Nate (220 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X