Nedavno mi se, ničim izazvan, pojavio na ekranu dolje uslikani OSXDriverUpdates koji mi izgleda OK, ali nije mi jasno zašto se pojavljuje. Jel to OK, ili sam ja samo paranoidan?

Osim ako se ne radi o nekim driverima za neki 3rd party hardver, i ja bi bio paranoidan, jer niti jedan update od Applea se ne pokreće kroz ovakav PKG dijalog.

Hm, ovo mi ne miriši dobro...
Evo bio sam hrabar i zveknuo 'Continue':

U System Preferences>Software Update>Scheduled Check u dnu prozora moguće je dozvoliti da sistem downloada update bez prethodne obavijesti, a tek nakon završenog downloada pojavi se obavijest da je određeni update spreman za instaliranje. Pošto tu mogućnost ne koristim ne mogu sa sigurnošću potvrditi da bi ovaj prozor imao veze s tim.
Inače, ne vidim ništa čudno u updateu koji je došao u ".pkg" formi. Za Mac OS X ih ima dosta.

Dopuna:
Pazi, to ima samo 12 KB!

... pa 'Customize':


Kako se riješiti ovog vraga, već mi je polako počeo titrati nerve, svako malo se pojavi...

joskocurkovic je napisao:

Ma to mi je dečekirano, jer imam fobiju prema apdejtima. Zato mi je sve to jako čudno.
Anyway, tnx men! Ako imate još kakvu ideju di (i kako) da tražim taj 'update'... pucajte.

U Library>Receipts se nalaze svi ".pkg" fajlovi, ali oni instalirani.

Koje imaš 3rd party komade hardvera?

Instaliraj Pacifist. Onda čekaj da ti se opet pojavi taj prozor pa pokreni Console monitor (pod Utilities) i pogledaj zadnjih par redaka - oni bi se trebali odnositi na netom pokrenuti pkg pa pokušaj odatle skužiti gdje se nalazi (npr. ako piše neko ime, utipkaj ga u spotlight). Kad nađeš gdje je, tj. odakle se pokreće, onda otvori taj pkg Pacifistom i on će ti pokazati točan sadržaj paketa.

smayoo je napisao:

Imam samo Matroxovu MXO2 karticu i breakbox za video obradu, ali siguran sam da taj upgrade nema veze sa Matroxom.

Evo, Pacifist instaliran, i sad čekam uljeza da je pojavi
Hvala smayoo, javim se nakon, nadam se uspješne operacije.

Nakon što sam deletao sumnjivi file (/Users/marijano/.jnana/OSXDriverUpdates.mpkg), više se ne pojavljuje nikakav "Update". Ali ipak brine me da li je to bio kakav virus, trojan, crv ili neka druga gamad. Bilokakobilo, ako vam se pojavi file: OSXDriverUpdates.mpkg, oprez!

Ja bi se skoro kladio da je to bio trojanac. Srećom, takvi traže da ih administrator pokrene, a u ovom slučaju si bio pametniji od njega.

Bilo bi zgodno da si prije brisanja "virnuo" u njega Pacifistom. Inače, jedino što je indikativno je ime skrivenog foldera ".jnana". Google me uputio ovamo:

www.eileenslounge.com/viewtopic.php?f=37&t=3474&start=0

Thread govori o Windows virusu (zapravo trojancu), ali lako je moguće da ga je netko napisao i za Mac.

Virnuo sam Pacifistom u folder i osim nekoliko manjih fileova bilo je i nekoliko exe datoteka (nažalost nisam snimio sadržaj), i sa svim 'guštom' bacio sam taj .jnana folder u virtualno ništavilo.

@smayoo
e ovaj tvoj link o .jnana folderu ( www.eileenslounge.com/viewtopic.php?f=37&t=3474&start=0 ) sve objašnjava. Naime, nedavno sam na fejsu, ništa ne sluteći, otvorio 'video' za koje sam mislio da mi je postao kolega snimatelj iz Pule. Izgleda da je na tom 'videu' bio skriven trojan.
Znači, oprez sa video linkovima na fejsu, čak i od najboljih frendova!

Eto. Sad mi je još draže što nemam facebook account...

smayoo je napisao:

Znači, ostali ste samo ti i Riba

macak je napisao:


Piši i mene!

Znam ja još jednog kolegu PCjaša. To je već 4.

smayoo je napisao:

Taj se ne broji!

Nemam ni ja eF account!

macak je napisao:


Ali mene možeš ubrojat; ni ja nisam na fejsu. Zapravo, nikad nisam upsio shvatiti poantu svega toga, ali to je sad posve druga(čija) tema.....

Breed, GANDALf, hal9000, pomagajte...

Performita, Kreativni, Jupi...

Šteta što si pobrisao fajl - uvidom u njega bilo bi jednostavnije dokučiti što zapravo radi i kako se (ako se) "razmnožava".

No, s obzirom da se installeri ne startaju po duhu svetom, vjerojatno na tvom stroju postoji "još nešto" što je zaduženo za startanje tog installera.

Ako je u pitanju trojanac čija sudbina ovisi o tome da pokreneš instalaciju, moguće da se to što ga starta uspjelo useliti u neki dio sistema koji NE traži admin password za useljenje. Ne pada mi na pamet gdje bi to moglo biti... osim na Docku. Nisam siguran traže li Login Items uvijek autorizaciju, ali svakako vrijedi zaviriti da li u njima postoji "nešto" što pokreće sporni installer. Ako postoji, ukloni to "nešto" i vrlo vjerojatno si iskorijenio problem.

Teško da se išta bez autorizacije od strane admina moglo useliti u neku od skripti koje se izvršavaju tijekom boota pa ćemo taj scenarij, za sada, zanemariti.

Naravno, ostaje pitanje kako se to "nešto" uopće negdje uselilo, a to možeš pokušati sam dijagnosticirati tako da pratiš Login Items (ako si tamo našao uljeza) gledajući nakon koje akcije (kliktanje na link na Facebooku?) će se pojaviti. To bi bila korisna informacija svima.

Relativno mali broj virusa (i vjerojatno nijedan trojan ) se trudi pametno maskirati svoje postojanje pa ih nerijetko možemo vidjeti u popisu aktivnih procesa. Tu ti može pomoći ovaj link: triviaware.com/macprocess/ - prati upute. U slučaju da su svi procesi identificirani, možeš mirno spavati. I da, u teoriji je moguće da se virus maskira(o) u "poznati" proces (pogotovo kad se za analizu koristi ovako primitivan alat koji ne uzima u obzir ni veličinu datoteke kako bi je usporedio s "čistom" ), ali budimo optimisti pa pretpostavimo da nisi baš prvi "sretnik" koji se zarazio nečim tako malignim.

Za svaki slučaj pogledaj i što kaže log u konzoli - ne bi me iznenadilo da se u logu, otkako si pobrisao installler, prijavljuje kako sporni proces (koji pokušava startati installer i kojeg tek treba identificirati) ne uspijeva pronaći installer (koji si pobrisao). To bi olakšalo uklanjanje "nametnika", a usput i potvrdilo da se ne radi o ničem "ozbiljnom" (jer takvi ne logiraju svoje prljave rabote ).

kaj nije taj trojanac bio u iLife '09 torrent distribuciji?

A kako se mice?

Djipi je napisao:

Da, zbilja je glupo što sam pobrisao taj file, zapravo, pobrisao sam folder ".jnana", i moguće da se u njemu nalazio neki "trigger" koji je startao installer, jer nakon brisanja tog foldera više se ne pojavljuje installer.


Kao što sam već ranije napisao, uljeza sam 'pokupio' tako što sam pokušao otvoriti link sa nekim videom koji mi je na Facebooku "poslao" kolega snimatelj. Naravno, od videa ni traga, ali šteta je već bula učinjena.


Hvala na linku, upravo sam testirao procese, i osim 3rd party hardwera, ostalo je sve OK.


Svaka čast Djipi!, Sad sam pogledao log u konzoli i "nešto" pokušava svakih 10 sekundi podignuti file koji sam prije nekoliko dana pobrisao.
Evo što kaže consola:

Sep 13 00:20:46 marijano-atanaskovics-computer jnana[618]: Unable to access jarfile /Users/marijano/.jnana/jnana.tsa
Sep 13 00:20:46 marijano-atanaskovics-computer com.apple.launchd[88] (jnana[618]): Exited with exit code: 1
Sep 13 00:20:46 marijano-atanaskovics-computer com.apple.launchd[88] (jnana): Throttling respawn: Will start in 10 seconds

Kako sad eleminirati ovu rabotu?!?

Kakvu stetu radi trojanac?

Ovo s konzolom su dobre vijesti, a konzola kaže da je to "nešto", što tražimo, uselilo u ~/Library/LaunchAgents ili LaunchDaemons. Zaviri u te foldere (moguće da nemaš LaunchDaemons u home folderu, to je OK) i vidjet ćeš razne plist fajlove koje launchd koristi za pokretanje pojedinih procesa. U jednom od tih plist fajlova se nalazi poziv za "jnana" (vjerojatno kao Item 0 ProgramArguments keya). Zapamti (i javi ovdje!) kako se dotični plist zove i obriši ga.

Ako ga nisi našao u ~/Library/LaunchAgents ili LaunchDaemons, zaviri u /Library/LaunchAgents ili/Library/LaunchDaemons. U /System/Library vjerojatno nije jer bi za to morao imati admin autorizaciju (a nema je jer bi se u protivnom "uselio" bez pitanja da pokreneš installer).

Pusti otvoren Finderov prozor iz kojeg si upravo pobrisao plist i jednim okom gledaj u njega, da se kojim slučajem u nastavku procedure ne pojavi ponovo tamo (pametan trojan bi se "vratio", ali pretpostavit ću da se ovaj neće). Digni Activity Monitor i u njemu, pomoću filtera, provjeri da li launchd ima dignut proces koji drži u memoriji kopiju obrisane pliste i izvršava je. Umjesto filtriranja možeš sortirati procese koristeći opciju "All Processes, Hierarchically" pa pogledati koje je sve pokrenuo launchd (nemoj se iznenaditi ako vidiš da je launchd pokrenuo drugi launchd - to je OK). Ako naiđeš na proces vezan uz "jnana", zbog kojeg launchd cijelo vrijeme u konzoli ispisuje to što ispisuje - ubij ga (Quit Process). Pod pretpostavkom da se plista nije reinkarnirala (gledaš Finder?), operacija je gotova.

I da, nemoguće je ovako napamet tvrditi da je sistem sad "čist" jer i dalje ne znamo uzrok nevolje (kako se nametnik točno naselio), a uvijek postoji i mogućnost da autor (trojana) ipak zna što radi pa su goreopisani koraci namjerno pušteni za čišćenje tek toliko da korisnik stekne dojam da je sve počistio. No, nekako ne vjerujem u taj scenarij pa mislim da možeš mirno spavati.

Koji? Za ovog ne znamo (jer nije bilo prilike "secirati ga" ), a inače najčešće nešto "krade" (od passworda na dalje).