このソフトウェアを使用してファイルをダウンロードするのは初めてではないため、Transmissionの開発者がハッカーの標的になっているようです。 他のマルウェアがインストールされているMacに侵入します。 この機会に、マルウェアは28月29日からXNUMX日の間にこのアプリケーションのダウンロードを通じて配布されました。 このインストールパッケージには、Keydnapマルウェアが含まれていました。 このマルウェアの以前のバージョンでは、ユーザーが悪意のあるファイルをクリックする必要があり、ターミナルが自動的に開きました。 次に、マルウェアはアプリケーションが実行されるのを待ち、認証を求めるウィンドウを表示しました。
しかし、この新しいバージョンでは、このマルウェアは、実行するためのXNUMX番目のアプリケーションや、認証するためのユーザーを必要としません。 トランスミッションと共同で設置。 アプリケーションはAppleによって署名されているため、Gatekeeperは、マルウェアが含まれているかどうかをいつでも確認せずに、このアプリケーションの実行を許可します。
インストールしてMacを制御できるようになると、この新しいKeydnapマルウェアアップデートは すべてのパスワードを保存するキーチェーンにアクセスするために使用されます 論理的には銀行口座にアクセスするためのWebページを含むWebページに関連付けられています。 ただし、アクセスできることに限定されるものではなく、このマルウェアを開発したサーバーにファイルをすばやくダウンロードします。
Transmissionインストーラパッケージに論理的に含まれる署名 正当な開発者のものではありません、Appleは、開発者のものではないため、この会社へのアクセスを取り消すように通知されています。 開発者は、この問題が通知されるとすぐに、感染したコピーをサーバーから削除するようになりました。
会社のサーバーのセキュリティは常にドアを開いているようですが、 ハッカーが侵入し、マルウェアを含むコピーの元のダウンロードファイルを変更したのはこれがXNUMX回目だからです。 以前は、インストールパッケージに侵入したマルウェアはKeRangerでした。 彼らが毎回行う調査にもかかわらず、ハッカーは何度も何度も侵入します。 彼らは何か他のものに専念するか、サーバーを変更することを選択しなければならないようです。 現時点では、新しいコピーはすでにGithubサーバーに保存されています。
Transmissionに感染したMacからKeynapを削除する方法
ESET Researchは、28日から29日の間にiTransmissionをダウンロードしてインストールしたすべてのユーザーに推奨しています。 Macでこれらのファイルまたはディレクトリを見つけて削除します:
- /アプリケーション/Transmission.app/コンテンツ/リソース/ライセンス.rtf
- /ボリューム/伝送/伝送.app/コンテンツ/リソース/ライセンス.rtf
- $ HOME /ライブラリ/アプリケーションサポート/com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME /ライブラリ/アプリケーションサポート/com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- /ライブラリ/アプリケーションサポート/com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
次に、アクティビティモニターに移動して 次のファイルに関連するプロセスを麻痺させる:
- icloudproc
- ライセンス.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
それから システムからアプリケーションをアンインストールします 独自のサーバーよりも優れたセキュリティを提供するため、GithubサーバーからTransmissionを再度ダウンロードします。
