¿Cómo puedo encontrar todas las modificaciones e instalaciones realizadas por un dmg de spam?

Descargué un archivo dmg de 1,5 MB de un sitio no auténtico y, a pesar de las sospechas, lo abrí y abrí la aplicación que contiene. Supongamos que el juego que quería era game, así se llamó game.dmg. Montó installery mostró el icono de installer.app. No instaló el software esperado ofc, pero mostró la política de privacidad de InstallCore y luego dos recomendaciones de software que negué. Después de lo cual, mostró un enlace que me permitió descargar el software real. De vuelta al Finder, mostró la instalación completa.

Tengo el dmg y puedo abrirlo nuevamente, pero necesito saber dónde buscar para encontrar todas las instalaciones, los archivos que escribió, etc. Revisé el Informe del sistema-> instalaciones ordenadas por fecha. Solo Adobe Flash Player fue algo que no recuerdo haber instalado ese día. Estaba preinstalado. Lo he quitado por ahora.

El escaneo de MalwareBytes no mostró nada.

No dude en solicitar el contenido del paquete, capturas de pantalla, registros del sistema, detalles del monitor de actividad, etc. MacOS Mojave en MacBook Air.

¿De dónde descargaste esto, de un sitio legítimo? ¿Cuál era el nombre del paquete de software? ¿Has probado Malwarebytes para ver si encuentra algo relacionado con el malware? Es una herramienta bastante poderosa. Nota: puede utilizar la función de escaneo gratuito, sin necesidad de comprar nada.
@IconDaemon actualizó la pregunta. Sé que fue una tontería hacerlo. He negado muchas veces tales instalaciones de paquetes en el pasado. pero este juego tuvo buenas criticas.
@IconDaemon Lamento la confusión, si la hay, de PKG vs .app. Era installer.app.

Respuestas (2)

En general, no es posible averiguar después del hecho qué se hizo, a menos que tenga copias de seguridad.

Si tiene una copia de seguridad reciente justo antes de la instalación, puede hacer una comparación con su sistema actual para localizar las diferencias. Este es el método "más seguro" (es decir, es menos probable que se pierda algo).

También es posible analizar el archivo de instalación en sí mismo, pero el malware moderno tiende a recibir instrucciones de un servidor sobre qué hacer en el sistema de destino. Estas instrucciones pueden haber cambiado desde que instaló.

Lamentablemente no tengo copias de seguridad. Pronto compraré un HDD. Los contenidos del paquete del instalador son: i.stack.imgur.com/sxpDo.png i.stack.imgur.com/bsqdh.png i.stack.imgur.com/pWGbW.png

Recomiendo Pacifist de Charlessoft . Esto abrirá cualquier archivo .pkg y le mostrará los archivos y dónde se instalarán. También puede inspeccionar los scripts de shell previos y posteriores a la instalación, si los hay, y ver qué hacen.

Pude ver el contenido del paquete haciendo clic con el botón derecho-> mostrar el contenido del paquete. Una información adicional que obtuve fue que la ubicación de instalación era /la que supongo que es la predeterminada y el desarrollador no quería cambiarla. No sé si me perdí algo en la información de uso, pero no pude encontrar ninguna opción para inspeccionar los scripts de shell. Además, consulte la actualización, .appno fue.pkg
Una aplicación podría almacenar datos para la instalación en cualquier tipo de formato, por lo que simplemente navegar por el contenido del paquete no lo ayudará. Si iniciaste la aplicación, no sabes lo que ha hecho. Malwarebytes no ha encontrado nada, pero lo más seguro es asumir que el disco está comprometido, borrarlo y restaurar sus datos.
Lamentablemente, no tengo copia de seguridad. Y tratando de no sonar duro, esto fue informativo, pero aún insatisfactorio.
Es un buen momento para poner en marcha un plan alternativo. Sería mejor hacer una copia de seguridad completa de su sistema. Reformatearía el disco. Haz dos particiones. A continuación, haga una partición. Vuelva a instalar macos. Copie manualmente los archivos a su nueva instalación. Vuelva a cargar todas las aplicaciones de terceros. Suponga que su antiguo sistema está comprometido.
Una vez que esto sucede o tiene un problema de hardware con una unidad, se toma en serio la copia de seguridad. Enciende la máquina del tiempo. Consigue un clonador y clona la unidad de inicio. Mantenga una unidad fuera del sitio como en una caja de seguridad.
¿Cómo puedo encontrar todas las modificaciones e instalaciones realizadas por un dmg de spam?
RespuestasAquíPolítica de privacidad1y, 0v