¿Cómo elimino lo que parece ser javascript en caché malicioso?

Recientemente estaba usando el iMac de otra persona y me encontré con un comportamiento bastante extraño. Las búsquedas (desde google y yahoo al menos, no probé otros motores de búsqueda) estaban siendo redirigidas. Después de buscar, al hacer clic en un enlace en la búsqueda, se abrió una nueva ventana con un enlace redirigido (la redirección pasó por algunas variaciones antes de decidirse por el enlace final). Volviendo a la ventana original y haciendo clic en el enlace por segunda vez, se dirigió al sitio correcto. Esto sucedió tanto con Safari como con Firefox (no probé otros navegadores).

La búsqueda en Internet sugirió que se trataba de un código malicioso, pero no pude encontrarlo en las listas de procesos. Los síntomas clave fueron:

  1. Desactivar javascript eliminó el problema.
  2. Crear una cuenta completamente nueva eliminó el problema (para la nueva cuenta).
  3. Arrancar en modo seguro no solucionó el problema.
  4. No había ningún proceso obvio que la cuenta original (con el problema) estuviera ejecutando que no estuviera siendo ejecutado por la nueva cuenta (sin el problema).

Entonces, suponiendo que había algún javascript malicioso almacenado en caché en la máquina, intenté eliminar todo lo que parecía caché (en particular, en, ~/Library/Cachesi no recuerdo mal). Eso pareció arreglarlo, pero el dueño me dijo que al día siguiente estaba de regreso. No pude encontrar un comando "deshacerse de todos los archivos temporales, no, realmente me refiero a todos los archivos temporales".

Mi verdadera pregunta es: ¿alguien puede identificar el problema y decirme qué pasos debo decirle al propietario de la máquina para deshacerse de él?

(Tenga en cuenta que, desafortunadamente, ya no estoy frente a esa máquina, por lo que las pruebas de diagnóstico adicionales serán complicadas; agregue a la mezcla el hecho de que el propietario no es un nerd de la computadora).

Tal vez una pregunta más respondible (si la anterior no es respondible) es: ¿qué pasos se necesitan para limpiar los archivos temporales del área de un usuario en una manzana? Preferiría pasos concretos en lugar de "descargar (y pagar) iKillTempFiles".

Por último, no conozco las versiones del software involucradas, pero sospecho que todas eran bastante antiguas.

Vuelva a etiquetar adecuadamente: no conozco las etiquetas locales y no surgió nada en particular en las sugerencias.

Respuestas (5)

Suena como una especie de cambiador de DNS. tal vez podría intentar ejecutar un escaneo con clamXav si no está muy familiarizado con qué archivos son legítimos y cuáles son maliciosos.

donde encontré el archivo dudoso DNSchanger e instal.pkg ~/Library/Internet Plug-Ins /Library/Receipts

Solo borrar los archivos almacenados en caché no eliminará el malware. Puede que solo haga la mitad del trabajo.

Aquí hay algunos enlaces, siéntete libre de usarlos... o no. :)

http://www.howtogeek.com/howto/38793/how-to-switch-mac-os-x-to-use-opendns-or-google-dns/ - Al solucionar el problema, noté que el auto La configuración de DNS en las preferencias del sistema era diferente a la dirección DNS de nuestros enrutadores.

Dirección DNS abierta: 208.67.222.222 y 208.67.220.220 Dirección DNS de Google: 8.8.8.8 y 8.8.4.4

http://www.macupdate.com/app/mac/15850/clamxav/ : lea algunos de los comentarios de los usuarios antes de intentarlo.

  • La conclusión es: tenga en cuenta lo que está aceptando e instalando en su máquina.

Una cosa para probar. Use el elemento de menú de caché vacío, luego salga y reinicie el navegador.

¿Quiere decir "caché vacío" en el menú del navegador ? Si es así, lo intenté y no funcionó. Además, eso no encaja con el hecho de que sucede en dos navegadores diferentes.

Algunos sitios web gratuitos utilizan la redirección de Javascript para que lea sus anuncios. Sin eso, la gente simplemente se saltaba los anuncios, lo que significa que estos sitios no producían ingresos.

Cierto, pero no veo la relevancia para este caso. El javascript estaba en su lugar en la página web de búsqueda, no en el destino final.

¿Comprobó si el usuario está volviendo a visitar un sitio que está reinfectando la computadora después de borrar el caché? Sugiero que, como dijiste, borrar el caché lo solucionó temporalmente.

Algunas cosas que intentaría resolver el problema:

  1. Limpie los archivos temporales con una aplicación como CCleaner (gratis) o CleanMyMac .
  2. Ejecute un programa antivirus para Mac. Lifehacker tiene un buen resumen de ellos aquí .
  3. Si los pasos anteriores fallan, tome la ruta segura, haga una copia de seguridad de sus datos, formatee su disco y reinstale OS X desde cero ( guía Lion de Apple , guía Snow Leopard de Apple ).

Algunas otras notas:

  • Estoy de acuerdo con las otras respuestas, suena como un cambio de DNS. Pruebe la configuración de DNS sugerida por Miro.
  • Safari y Firefox usan archivos de caché diferentes, por lo que es poco probable que ese sea el problema.
¿Cómo elimino lo que parece ser javascript en caché malicioso?
RespuestasAquíPolítica de privacidad1y, 0v