Des images-disque "setup.dmg" qui apparaissent sur le bureau (malware).

[coque]

Bonjour,
Je suis sous MacOS Monterey 12.3.1, sur un MacBook Pro.
Depuis une semaine environ, et toutes les deux heures environ, une image disque "setup" se monte sur mon bureau, et à la fin de la journée j'en ai presque une douzaine... que je déplace gentiment vers la poubelle. Je ne me souviens pas avoir téléchargé quoi que ce soit récemment contenant une telle image disque.

Chaque image /tmp/setup.dmg contient un paquet intitulé setup (que je n'ai jamais lancé).
L'information associée à chacun de ces paquets (Command I) est presque toujours la même: c'est une application de 1.6 Mo, et seule l'indication de copyright change d'un disque à l'autre; je lis par exemple: Copyright © 2021 Orlando_mattes_Riverside All rights reserved, ou alors Copyright © 2021 anomalies_cryptographer_Lupercalias, ou
Copyright © 2021 motions_Frito_nonphysical, ou Copyright © 2021 Qualcomm_nappers_granddaddy, ou Bandungs_eyestrain_Seoul, etc.
Aucune de ces sociétés ne semble exister sur le net (Google dixit).

Chaque fois qu'un de ces disques "setup" se monte sur mon bureau j'ai un nouveau processus visible depuis le Moniteur d'activité: si j'ai par exemple six disques dmg setup sur mon desktop, je vois six processus diskimage-helpers; à chacun d'eux est associé le fichier suivant (onglet open files and open ports de Activity Monitor):
%%%%%%%%%%%%%%%%%%%%
cwd
/
txt
/System/Library/PrivateFrameworks/DiskImages.framework/Versions/A/Resources/diskimages-helper
txt
/Library/Preferences/Logging/.plist-cache.Wbl9f3HJ
txt
/usr/share/icu/icudt70l.dat
txt
/usr/lib/dyld
0
/dev/null
1
/dev/null
2
/dev/null
3
/private/tmp/setup.dmg
%%%%%%%%%%%%%%%%%%%%%%%%%%
Cela ne m'aide pas trop (les fichiers mentionnés sont des binaires, ainsi qu'une plist non visible générée depuis Logging).
Depuis le Terminal je peux faire un ls /tmp/setup.app/Contents qui mep dit que le paquet contient trois dossiers Info.plist, MacOS, et Resources.
La fourche Resources contient en particulier deux fichiers executables unix, illisibles bien sûr, cela ne m'a pas donc pas aidé non plus.
J'ai aussi regardé le contenu de: ls /Library/LaunchAgents, ls ~/Library/LaunchAgents, ls /Library/LaunchDaemons, et effacé (par sudo rm) quelques fichiers dont l'utilité me semblait douteuse, et redémarré le mac. Malheureusement sans résultat: la première image disque "setup" est apparue après quelques minutes après le reboot.
J'ai finalement décidé de recourir à un logiciel anti-malware, en l'occurence Malwarebytes, qui m'a fait supprimer quelques fichiers de /Library, considérés comme adware ou malware.
J'espérais alors en avoir fini... mais non : le lendemain, dès le réveil du mac, le premier dmg "setup" a fait son apparition sur mon bureau, bientôt suivi par une demi-douzaine d'autres.
Je ne sais plus vraiment quoi faire.
Quelqu'un a-t-il une idée ?
Merci !

[Patounet1]

Bonjour,
Tu pourrais essayer de passer un coup de Malwarebytes et d'Onyx, version gratuite.

[coque]

Bonjour,
Tu pourrais essayer de passer un coup de Malwarebytes et d'Onyx, version gratuite.

Merci pour la suggestion, mais j'ai oublié de préciser que j'avais déjà fait tourner Onyx, et dans mon message je mentionne le fait que j'ai aussi utilisé Malwarebytes, sans résultat malheureusement !

[ch21]

T'as regardé s'il y a quelque chose dans chacun de ses chemins ?

txt
/System/Library/PrivateFrameworks/DiskImages.framework/Versions/A/Resources/diskimages-helper
txt
/Library/Preferences/Logging/.plist-cache.Wbl9f3HJ
txt
/usr/share/icu/icudt70l.dat
txt
/usr/lib/dyld

[Benzebut]

Je suis sous MacOS Monterey 12.3.1, sur un MacBook Pro.
Depuis une semaine environ, et toutes les deux heures environ, une image disque "setup" se monte sur mon bureau, et à la fin de la journée j'en ai presque une douzaine... que je déplace gentiment vers la poubelle. Je ne me souviens pas avoir téléchargé quoi que ce soit récemment contenant une telle image disque.

Cela ressemble à un classique cheval de Troie pour vous forcer à installer un logiciel malveillant. C'était le cas des fausses mises à jour de l'extension Flash Player. Les questions évidentes:
- quelles mises à jour faites dernièrement ?
- nature de cette session (administrateur, utilisateur, invité) ?
- quel navigateur utilisé pour quels sites ?
- protection Apple activée par défaut ?

Le plus simple est faire un rapport par l'application EtreCheck et de le publier ici. Puis de passer un coup de la version gratuite Malwarebytes et par la suite d'Onyx pour réparer les autorisations. Bien évidemment, vous avez des sauvegardes à jour de votre session macOS...

[baron]

Puis de passer un coup de la version gratuite Malwarebytes et par la suite d'Onyx pour réparer les autorisations.

Ce serait bien de lire les messages précédents avant de répondre.
Merci.

[frankie00]

— Ouvrir une autre session administrateur
ou alors
— Essayer de récupérer par Time Machine une session d'avant avant si tu te souviens de la date à laquelle cette saleté a commencé en faisant une Clean Install, soit en effaçant tout auparavant par Utilitaire Disk
— Passer un coup de DetectX Swift

Ce message a été modifié par frankie00 - 9 May 2022, 08:22.

[frankie00]

????

[coque]

Bonjour,
Désolé pour cette réponse tardive.
Merci à ceux qui m'ont envoyé des suggestions, et en particulier à Benzebut qui m'a fait découvrir EtreCheck.
L'analyse des fichiers proposés par certains utilisateurs n'ont rien donné car ce sont des binaires.
L'utilisation de Malwarebytes et d'Onyx non plus.
Par contre EtreCheck m'a listé un certain nombre de fichiers sans signature, essentiellement des p-list et certains démons, potentiellement malveillants: j'ai gardé ceux que je reconnaissais et effacé ceux qui étaient récents, et que je reconnaissais pas, ensuite j'ai redémarré le mac.
Il semble que cette opération ait marché car je l'ai réalisée avant hier, et depuis, je n'ai plus eu d'images disques "setup" montées sur le bureau.
Je ne sais pas exactement quel fichier était à l'origine de ce problème, peut-être le suivant (qui fait partie de la liste de ceux que j'ai effacés):
App en cours: /private/var/folders/9h/gg9wfmb52rs0582f4jwt_78r0000gn/T/WDSecurityHelper.app/Contents/MacOS/WDSecurityHelper
Détails: Fichier exécutable est caché - peut-être malveillant
En tous cas le problème semble avoir disparu, pourvu que ça dure....
Merci encore.