2 votes

Dan avatar

Quel est ce processus étrange `qemu` qui se connecte à minergate.com ?

Demandé el 19 de Décembre, 2018
Quand la question a-t-elle été
2294 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai remarqué cela dans Little Snitch :

qemu-system-x86_64
/usr/local/Cellar/qemu/3.0.0/bin/qemu-system-x86_64
Total: 444 B sent, 0 B received
    Outgoing to xmr.pool.minergate.com (78.46.23.253, 46.4.119.208), Port 45700, Protocol TCP (6), 222 B sent, 0 B received
    Outgoing to xmr.pool.minergate.com (78.46.23.253, 46.4.119.208), Port 45700, Protocol TCP (6), 222 B sent, 0 B received

Je l'ai bloqué mais je n'ai pas pu l'empêcher de se recharger. Je ne l'ai pas trouvé dans LaunchControl. (Je n'ai jamais installé qemu via Homebrew).

S'agit-il d'un logiciel malveillant de minage de bitcoins ? Comment savoir d'où il vient ?

Pour l'instant, j'ai simplement supprimé le binaire.

Demandé el 19 de Décembre, 2018 par Dan

Réponses

Trop de publicités?

2voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Qemu est un émulateur virtuel. Minergate est un logiciel d'exploitation minière. Comme mentionné, il est probablement installé via quelque chose que vous avez installé par Homebrew.

Je recommanderais un anti-virus

Répondu el 19 de Décembre, 2018 par Utilisateur non enregistré (0 Points )

1voto

jcartano avatar
jcartano Points 106

Après quelques recherches, puisque j'ai la même chose, j'ai découvert qu'il s'agit d'un logiciel malveillant d'extraction de crypto-monnaie qui peut être intégré à des logiciels, notamment des logiciels piratés.

J'ai vérifié "/usr/local/Cellar/qemu/3.0.0/bin/qemu-system-x86_64" et a trouvé d'autres fichiers.

Recherchez d'autres fichiers. J'ai trouvé un agent de fond dont le lien se trouve à l'adresse suivante "/usr/libexec/AppleQEMUGuestAgent" qui mène également à un fichier .plist à l'adresse suivante "/System/Library/LaunchDaemons/com.apple.AppleQEMUGuestAgent.plist" . A en juger par les lignes à l'intérieur de la plist, c'est probablement le cas. Par ailleurs, si vous constatez que le ventilateur de votre Mac s'accélère alors que vous n'utilisez pas d'applications lourdes, c'est également un indicateur très clair de la présence d'un logiciel malveillant de minage de crypto-monnaies. Heureusement que vous avez supprimé le binaire.

Autre chose, j'ai également trouvé un certain nombre de fichiers liés en allant dans le finder, en appuyant sur Command-Shift-G et en tapant "/System" (pas de parenthèses pour les répertoires). J'ai ensuite mis dans la barre de recherche "qemu" et cliqué sur le bouton "system" au lieu de This Mac, et c'est ainsi que j'ai trouvé un fichier plist qui est indiqué. MAIS LISEZ BIEN. Au lieu de chercher qemu, j'ai plutôt cherché "x86_64" (sans parenthèses). Cela a donné lieu à quelques fichiers, comme le 8. Supprimez-les également. Si vous les vérifiez, ils semblent tous liés à l'exploitation minière. Vérifiez vous-même les fichiers dans une application telle que TextEdit, et vous devriez voir la même chose.

TOUS LES FICHIERS MENTIONNÉS ICI DEVRAIENT ÊTRE SUPPRIMÉS, du moins je l'ai fait. Si vous n'avez pas les perms nécessaires, même en sudo, essayez de désactiver SIP, de supprimer les fichiers, puis de ré-activer SIP.

J'espère que cela aidera quelqu'un.

Sources (si vous voulez les consulter, j'ai aussi fait mes propres recherches) :

https://discussions.apple.com/thread/8602989
______
https://apple.stackexchange.com/questions/346172/what-is-this-strange-process-qemu-connecting-to-minergate-com/359046#359046
______
https://forums.developer.apple.com/thread/109460
______
Répondu el 30 de Avril, 2019 par jcartano (106 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X