Macbook Pro (2010, OSX Sierra) comenzó a solicitarme que ingrese la contraseña para DHCP una y otra vez

De repente, mi Mac comenzó a solicitarme que ingrese mi contraseña con el cuadro de diálogo: "La configuración de red necesita actualizar la configuración de DHCP. Escriba su contraseña para permitir esto".

ingrese la descripción de la imagen aquí

Recientemente instalé MakeMKV en mi computadora portátil... ¿podría mi Mac haber contraído algo desagradable?

Como nota al margen: ¿Hay alguna manera de saber qué proceso está creando la ventana emergente?

Si hago clic en cancelar, la ventana vuelve a aparecer inmediatamente...

Respuestas (1)

¡Tienes un troyano! Mire el directorio ~/Library/VideoFrameworks El troyano recopiló su llavero y los datos del navegador allí.

El programa en sí reside en ~/Library/RenderFiles

Puede detenerlo con launchctl stop fr.handbrake.activity_agent

¿También instalaste el freno de mano o solo makemkv?

Recomendaría hacer una instalación limpia de osx o instalar su copia de seguridad de la máquina del tiempo antes de la instalación del programa.

Actualización: no puedo comentar aquí, así que trato de editar mi respuesta con información adicional:

El troyano recopila al menos los siguientes datos:

  • Archivos de llavero (contraseñas guardadas en OSX)
  • Datos personales de todos los navegadores de su sistema, incluidas las contraseñas guardadas
  • capturas de pantalla

Por lo tanto, debería verificar qué contraseñas guardó en el llavero y en el navegador y cambiarlas inmediatamente en otra computadora. Puede encontrar los datos que recopiló en el directorio descrito anteriormente en varios archivos zip.

¿Recuerdas dónde descargaste Handbrake? ¿Usaste la función de actualización?

¡Tío! Sí, también instalé Handbrake... :( Gracias Dave, ugh, esperaba poder evitar una reinstalación...
Lo mismo, acabo de recibir Handbrake y me pidió mi contraseña para instalar códecs adicionales, ahora el cuadro de configuración de DHCP no desaparecerá. Nueces.
No tengo ninguno de los archivos/directorios que enumeró. ¿Cómo supiste que esos eran los únicos? Podría usar el mismo método para encontrar los que se usan en mi sistema
puede ejecutar "launchctl list" para ver una lista de servicios. El servicio que muestra el cuadro de diálogo sobre la necesidad de actualizar la configuración de dhcp se llama fr.handbrake.activity_agent. Y echa un vistazo a ~/Library/LaunchAgents. "launchctl list fr.handbrake.activity_agent" brinda información sobre el servicio.
Ahora, los desarrolladores de Handbrake anunciaron que un servidor espejo estaba comprometido. Es posible que haya obtenido lo mismo al actualizar una versión anterior con el actualizador incorporado forum.handbrake.fr/viewtopic.php?f=33&t=36364
Gracias Dave Sé que tengo el código infectado, pero todavía no tengo las carpetas RenderFiles o VideoFrameworks. Si supiera cómo los encontraste, podría encontrar las carpetas equivalentes en mi máquina.
¿Probó los comandos launchctl en la consola que describí anteriormente? Así es como encontré el directorio RenderFiles. Además, haga un "cd ~/Library/LaunchAgents" y "ls -la" para ver si hay un archivo plist que inicia el servicio. ¿Todavía tienes el diálogo dhcp?
Reinicié la computadora para deshacerme del cuadro de diálogo y apagué el acceso a la red tan pronto como me di cuenta de que estaba comprometido. No he iniciado Handbrake desde entonces. No aparece ninguna referencia a Handbrake cuando uso el comando launchctl y LaunchAgents está vacío. Es OS X 10.8.5, quizás sea demasiado antiguo para el troyano
No puedo decir cómo se comporta en otros sistemas, pero lo más probable es que eliminó los archivos después de que tuvo éxito. Puede verificar si tiene los siguientes archivos en el directorio /tmp: au, au.pub, public.pem. Pero el directorio se borra después de reiniciar. También puede buscar rastros de "actividad_agente" en el registro del sistema (iniciar aplicación de consola). Por ejemplo, en "Informes de diagnóstico de usuario". Encontré un registro de fallas allí.
Fresco. No hay señales de nada de eso y tampoco de lo que cubrió el anuncio del foro Handbrake, por lo que es posible que haya escapado. Versión de XProtect en 2087. Aún así, creo que es hora de hacer borrón y cuenta nueva.
Macbook Pro (2010, OSX Sierra) comenzó a solicitarme que ingrese la contraseña para DHCP una y otra vez
RespuestasAquíPolítica de privacidad1y, 0v