O que é esse estranho processo `qemu` se conectando ao minergate.com?

2

Notei isso em Little Snitch:

qemu-system-x86_64
/usr/local/Cellar/qemu/3.0.0/bin/qemu-system-x86_64
Total: 444 B sent, 0 B received
    Outgoing to xmr.pool.minergate.com (78.46.23.253, 46.4.119.208), Port 45700, Protocol TCP (6), 222 B sent, 0 B received
    Outgoing to xmr.pool.minergate.com (78.46.23.253, 46.4.119.208), Port 45700, Protocol TCP (6), 222 B sent, 0 B received

Eu o bloqueei, mas não consegui impedi-lo de recarregar. Não consegui encontrá-lo no LaunchControl. (Eu nunca instalei qemuvia Homebrew.)

Isso é algum tipo de malware de mineração de bitcoin? Alguma maneira de descobrir de onde veio?

Por enquanto eu apenas apaguei o binário.

Dan
fonte
qemu é um mackine / emulador virtual, não é um malware. No entanto, o que é executado pode ser qualquer coisa. Como foi instalado via Homebrew, algo que você instalou via Homebrew o instalou.
Mark

Respostas:

2

O Qemu é um emulador virtual. Minergate é um software de mineração. Como mencionado, provavelmente é instalado através de algo que você instalou pelo Homebrew.

Eu recomendaria um antivírus


fonte
1

Depois de algumas pesquisas, como também tenho a mesma coisa, descobri que é um malware de mineração de criptografia que pode ser empacotado com software, principalmente softs piratas.

Fiz o check-out "/usr/local/Cellar/qemu/3.0.0/bin/qemu-system-x86_64"e encontrei outros arquivos.

Verifique alguns outros arquivos. Encontrei um agente em segundo plano vinculado em "/usr/libexec/AppleQEMUGuestAgent", o que também leva a um arquivo .plist em "/System/Library/LaunchDaemons/com.apple.AppleQEMUGuestAgent.plist". A julgar pelas linhas dentro da lista, provavelmente é. Além disso, se você achar que o seu fã do Mac está otimizando, mas não está usando aplicativos pesados, também é um indicador muito claro de que o malware de mineração de criptomoedas está presente. Ainda bem que você excluiu o binário.

Mais uma coisa, eu também encontrei um monte de arquivos relacionados através do localizador, pressionando Command-Shift-Ge digitando "/System"(sem colchetes para nenhum dos diretórios). Eu então coloquei na barra de pesquisa "qemu" e cliquei no botão "sistema" em vez de Este Mac, e foi assim que encontrei um arquivo plist declarado. MAS LEIA POR FAVOR. Em vez de pesquisar no qemu, procurei "x86_64"(sem colchetes). Isso trouxe alguns arquivos, como 8. Exclua-os também. Se você vê-los, todos eles parecem estar ligados à mineração. verifique você mesmo os arquivos em um aplicativo como o TextEdit e espero que você veja o mesmo.

Todos os arquivos listados aqui devem ser excluídos, bem, pelo menos eu fiz. Se você não tiver permissões permanentes, mesmo quando sudo, tente desabilitar o SIP, excluir os arquivos e reativar o SIP.

Espero que isso ajude alguém.

Fontes (se você quiser vê-los, também fiz minha própria pesquisa):

https://discussions.apple.com/thread/8602989
______
https://apple.stackexchange.com/questions/346172/what-is-this-strange-process-qemu-connecting-to-minergate-com/359046#359046
______
https://forums.developer.apple.com/thread/109460
______
Di3
fonte
e a moral dessa história é ... não instale software pirateado
Wilfred Smith