Notei isso em Little Snitch:
qemu-system-x86_64
/usr/local/Cellar/qemu/3.0.0/bin/qemu-system-x86_64
Total: 444 B sent, 0 B received
Outgoing to xmr.pool.minergate.com (78.46.23.253, 46.4.119.208), Port 45700, Protocol TCP (6), 222 B sent, 0 B received
Outgoing to xmr.pool.minergate.com (78.46.23.253, 46.4.119.208), Port 45700, Protocol TCP (6), 222 B sent, 0 B received
Eu o bloqueei, mas não consegui impedi-lo de recarregar. Não consegui encontrá-lo no LaunchControl. (Eu nunca instalei qemu
via Homebrew.)
Isso é algum tipo de malware de mineração de bitcoin? Alguma maneira de descobrir de onde veio?
Por enquanto eu apenas apaguei o binário.
Respostas:
O Qemu é um emulador virtual. Minergate é um software de mineração. Como mencionado, provavelmente é instalado através de algo que você instalou pelo Homebrew.
Eu recomendaria um antivírus
fonte
Depois de algumas pesquisas, como também tenho a mesma coisa, descobri que é um malware de mineração de criptografia que pode ser empacotado com software, principalmente softs piratas.
Fiz o check-out
"/usr/local/Cellar/qemu/3.0.0/bin/qemu-system-x86_64"
e encontrei outros arquivos.Verifique alguns outros arquivos. Encontrei um agente em segundo plano vinculado em
"/usr/libexec/AppleQEMUGuestAgent"
, o que também leva a um arquivo .plist em"/System/Library/LaunchDaemons/com.apple.AppleQEMUGuestAgent.plist"
. A julgar pelas linhas dentro da lista, provavelmente é. Além disso, se você achar que o seu fã do Mac está otimizando, mas não está usando aplicativos pesados, também é um indicador muito claro de que o malware de mineração de criptomoedas está presente. Ainda bem que você excluiu o binário.Mais uma coisa, eu também encontrei um monte de arquivos relacionados através do localizador, pressionando
Command-Shift-G
e digitando"/System"
(sem colchetes para nenhum dos diretórios). Eu então coloquei na barra de pesquisa "qemu" e cliquei no botão "sistema" em vez de Este Mac, e foi assim que encontrei um arquivo plist declarado. MAS LEIA POR FAVOR. Em vez de pesquisar no qemu, procurei"x86_64"
(sem colchetes). Isso trouxe alguns arquivos, como 8. Exclua-os também. Se você vê-los, todos eles parecem estar ligados à mineração. verifique você mesmo os arquivos em um aplicativo como o TextEdit e espero que você veja o mesmo.Todos os arquivos listados aqui devem ser excluídos, bem, pelo menos eu fiz. Se você não tiver permissões permanentes, mesmo quando sudo, tente desabilitar o SIP, excluir os arquivos e reativar o SIP.
Espero que isso ajude alguém.
Fontes (se você quiser vê-los, também fiz minha própria pesquisa):
fonte