Jak sprawdzić, czy złapałeś „srebrnego wróbelka”?

Ostatnio głośno zrobiło się o malware na macOS o wdzięcznej nazwie Silver Sparrow. Stał się on sławny, bo jako jeden z dwóch znanych robali jest w wersji uniwersalnej Intel/Apple silicon oraz dlatego, że jego przeznaczenie i sposób działania nie jest jeszcze znany.

Jak sprawdzić, czy Silver Sparrow zagnieździł się w systemie?

O tym dlaczego jest to mocno podejrzany szkodnik, pisałem kilka dni temu. Teraz za opracowaniem Red Canary cytowanym przez Cult of Mac przedstawię Wam metodę jak sprawdzić, czy czasem wróbelek nie uwił gniazdka w Waszym Macu.

Do sprawdzania użyłem Terminala. Znajdziecie go w folderze Aplikacje > Narzędzia. Można również szukać plików w standardowy sposób np. za pomocą Findera lub Spotlight, ale część z nich jest ukryta (ma kropkę na początku nazwy), dlatego polecam jednak Terminal.

Jeżeli uruchomiliśmy już Terminal, to wpisujemy komendę (aby wejść do teczki biblioteki użytkownika):

cd ~/Library/

Dalej (aby wyświetlić zawartość folderu): 

ls -al

Sprawdzamy, czy na liście nie pojawił się czasem plik

._insu

Następnie wpisujemy komendy:

cd /tmp/

ls -al

I znów sprawdzamy listę w poszukiwaniu plików:

agent.sh

version.json

version.plist

Jeżeli znajdziecie we wskazanych miejscach te pliki, to niestety wróbelek srebrny uwił u Was gniazdko.

Więcej informacji jak rozróżnić wersje Silver Sparrow (Intel, czy uniwersalna) znajdziecie na Cult of Mac.