FacebookTwitterLinkedIn

Jak usunąć malware XcodeSpy?

Znany również jako: Narzędzie otwierające tylne drzwi XcodeSpy
Dystrybucja: Niska
Poziom zniszczenia: Silny

Jak usunąć XcodeSpy z Mac?

Czym jest XcodeSpy?

Malware XcodeSpy obiera za cel programistów Apple i rozsyła się za pośrednictwem złośliwych (strojanizowanych) projektów Xcode (funkcja Run Script w Xcode IDE). Badania pokazują, że jeden z tych złośliwych projektów Xcode (zwany TabBarInteraction) ma zawierać funkcje do animowania paska zakładek iOS. Jest prawdopodobne, że istnieje więcej niż jeden projekt Xcode, który został poddany trojanizacji. Złośliwy kod używany przez XcodeSpy można łatwo ukryć i uruchomić w dowolnym projekcie Xcode innej firmy. XcodeSpy (a raczej wprowadzane przez niego narzędzie otwierania tylnych drzwi) może nagrywać dźwięk za pomocą mikrofonu, wideo za pomocą kamery i wejścia z klawiatury. Może również pobierać i przesyłać pliki.

Malware XcodeSpy zainstalowało narzędzie otwierania tylnych drzwi EggShell

Jak wspomniano w pierwszym akapicie, XcodeSpy jest rozpowszechniany przy użyciu funkcji Run Script w Xcode IDE. Po uruchomieniu strojanizowanego projektu Xcode (XcodeSpy) instaluje on w systemie narzędzie otwierania tylnych drzwi EggShell. Następnie atakujący mogą użyć zainstalowanego narzędzia otwierającego tylne drzwi do nagrywania dźwięku za pomocą mikrofonu, wideo za pomocą kamery, zapisywania naciśnięć klawiszy (zapisywania danych wejściowych z klawiatury), przesyłania i pobierania plików. Często zdarza się, że cyberprzestępcy używają porwanych mikrofonów i kamer do nagrywania filmów, audio, które można wykorzystać do szantażowania ofiar. Dość często cyberprzestępcy grożą, że opublikują nagrane materiały, jeśli ofiary nie zapłacą określonej kwoty (zwykle w kryptowalucie). Funkcja zapisywania naciśnięć klawiszy umożliwia napastnikom zapisywanie wszystkiego, co ofiara wpisuje za pomocą klawiatury. Oznacza to, że cyberprzestępcy mogą być w stanie uzyskać dane, takie jak dane logowania (nazwy użytkowników, adresy e-mail, hasła) do różnych kont osobistych (od mediów społecznościowych po konta bankowe), dane kart kredytowych, numery ubezpieczenia społecznego, numery kont bankowych itd. W zależności od zapisanych danych, mogą one służyć do kradzieży kont internetowych, tożsamości, dokonywania oszukańczych zakupów, transakcji i innych złośliwych celów. Ponadto, wszystkie pozyskane informacje mogą zostać sprzedane stronom trzecim (innym cyberprzestępcom).

Dodatkowo, XcodeSpy/zainstalowane narzędzie otwierania tylnych drzwi, może być używane do pobierania plików przechowywanych na komputerze ofiary, w tym dokumentów osobistych, zdjęć, filmów itp. Cyberprzestępcy mogą zagrozić, że również opublikują te pliki i prosić o zapłatę w zamian za nieudostępnianie publicznie skradzionych plików. Mogą też spróbować zarabiać na pobranych plikach w inny sposób. Jak wspomniano w poprzednim akapicie, XcodeSpy można używać nie tylko do pobierania, ale także do przesyłania plików. Często zdarza się, że cyberprzestępcy wykorzystują tę funkcję do rozsyłania malware lub innego niechcianego oprogramowania. Należy wspomnieć, że malware XcodeSpy instaluje użytkownika LaunchAgent w celu zapewnienia swojej trwałości (malware pozostaje aktywne nawet po ponownym uruchomieniu systemu).

Podsumowanie zagrożenia:
Nazwa Narzędzie otwierające tylne drzwi XcodeSpy
Typ zagrożenia Malware otwierające tylne drzwi
Naazwy wykrycia (narzędzie otwierające tylne drzwi EggShell) Avast (MacOS:Eggshell-L [Trj]), BitDefender (Trojan.MAC.Generic.105295), ESET-NOD32 (wariant OSX/EggShell.M), Kaspersky (HEUR:Backdoor.OSX.EggShell.a), Pełna lista (VirusTotal)
Objawy Trojany tylu malware są zaprojektowane, aby podstępnie infiltrowaćkomputer ofiary i pozostawac cichymi, w wyniku czego na zainfekowanej maszynie nie ma jasno widocznych objawów
Metody dystrybucji Strojanizowane/projekty Xcode stron trzecich
Zniszczenie Utraty danych i finansowe, utrata dostępu do kont osobistych, problemy z przeglądaniem internetu, prywatnością online
Usuwanie

Aby wyeliminować Narzędzie otwierające tylne drzwi XcodeSpy, nasi badacze malware zalecają przeskanowanie twojego komputera Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest ograniczony trzydniowy okres próbny.

Więcej przykładów malware, które cyberprzestępcy wykorzystują do atakowania użytkowników komputerów Mac, to Silver Sparrow, Eleanor i Proton. W większości przypadków cyberprzestępcy rozsyłają złośliwe oprogramowanie w celu kradzieży danych osobowych, na których można w ten lub inny sposób zarabiać, lub w celu zainfekowania komputerów dodatkowym malware (np. trojanami, ransomware), które umożliwiłoby im kradzież informacji lub szantaż ofiar. Jak wspomniano w poprzednich akapitach, XcodeSpy rozsyła się za pośrednictwem udostępnionych złośliwych projektów Xcode, nadużywając funkcji Run Script. Dlatego deweloperom Apple zdecydowanie zaleca się sprawdzanie projektów Xcode innych firm pod kątem złośliwych skryptów uruchamiania podczas ich przyjmowania.

Jak zainstalowano potencjalnie niechciane aplikacje na moim komputerze?

Jest prawdopodobne, że co najmniej jeden ze złośliwych projektów Xcode używanych do dystrybucji narzędzia otwierania tylnych drzwi XcodeSpy jest (lub był) dostępny do pobrania na platformie hostującej kod o nazwie GitHub. Można również korzystać z różnych forów programistów. Więcej przykładów kanałów wykorzystywanych przez cyberprzestępców do dystrybucji malware to kampanie złośliwego spamu (wiadomości e-mail ze złośliwymi załącznikami lub linkami), fałszywe aktualizacje oprogramowania, narzędzia do „łamania" oprogramowania (narzędzia, które nielegalnie aktywują licencjonowane oprogramowanie), niektóre trojany i niewiarygodne źródła pobieranie plików, programów. Przykładami podejrzanych kanałów pobierania plików są sieci peer-to-peer (np. klienci torrent, eMule), zewnętrzne programy do pobierania, strony internetowe z freeware do pobrania, strony z bezpłatnym hostingiem plików, nieoficjalne strony. Należy wspomnieć, że instalatory innych firm również mogą być złośliwe.

Jak uniknąć instalacji potencjalnie niechcianych aplikacji?

W takim przypadku zaleca się użytkownikom (programistom Apple) sprawdzenie udostępnionych projektów Xcode pod kątem złośliwych skryptów uruchamiania podczas ich przyjmowania. Ponadto, zaleca się pobieranie plików lub oprogramowania wyłącznie z oficjalnych witryn i korzystanie z bezpośrednich linków do pobierania. Jeśli korzystasz z projektu innej osoby, upewnij się, że źródło jest wiarygodne. Aktualizuj lub aktywuj zainstalowane oprogramowanie za pomocą narzędzi zapewnionych przez jego oficjalnych programistów. Nigdy nie używaj nieoficjalnych narzędzi innych firm, ani do aktualizacji ani aktywacji oprogramowania. Narzędzia te mogą być złośliwe, a używanie narzędzi innych firm do aktywacji licencjonowanego oprogramowania jest nielegalne. Ponadto, zdecydowanie zaleca się, aby nie ufać nieistotnym e-mailom otrzymanym od podejrzanego, nieznanego nadawcy. Jeśli takie e-maile zawierają załączniki, linki do stron internetowych, to te pliki/linki nie powinny być otwierane/klikane. Należy pamiętać, że cyberprzestępcy maskują swoje e-maile jako oficjalne, ważne wiadomości. Jeśli twój komputer jest już zainfekowany PUA, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie je usunąć.

Plik otwierający tylne drzwi Eggshell wykryty w VirusTotal:

malware xcodespy na virustotal

Natychmiastowe automatyczne usunięcie Narzędzie otwierające tylne drzwi XcodeSpy: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Narzędzie otwierające tylne drzwi XcodeSpy. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner (Mac) Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest ograniczony trzydniowy okres próbny. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Film pokazujący, jak usunąć adware i porywaczy przeglądarki z komputera Mac:

Usuwanie potencjalnie niechcianych aplikacji:

Usuwanie potencjalnie niechcianych aplikacji z twojego folderu "Aplikacje":

usuwanie porywacza przeglądarki mac z folderu aplikacji

Kliknj ikonę Finder. W oknie Finder wybierz "Aplikacje". W folderze aplikacji "MPlayerX", "NicePlayer" lub innych podejrzanych aplikacji i przenieś je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji, które powodują reklamy internetowe, przeskanuj swój Mac pod kątem wszelkich pozostałych niepożądanych składników.

Usuwanie plików i folderów powiązanych z narzędzie otwierające tylne drzwi xcodespy:

Finder go to folder command

Kliknij ikonę Finder na pasku menu, wybierz Idź i kliknij Idź do Folderu...

step1Poszukaj plików wygenerowanych przez adware w folderze /Library/LaunchAgents:

removing adware from launch agents folder step 1

W pasku Przejdź do Folderu... wpisz: /Library/LaunchAgents

removing adware from launch agents folder step 2W folderze "LaunchAgents" poszukaj wszelkich ostatnio dodanych i podejrzanych plików oraz przenieś je do Kosza. Przykłady plików wygenerowanych przez adware - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist" itd. Adware powszechnie instaluje wiele plików z tym samym rozszerzeniem.

step2Poszukaj plików wygenerowanych przez adware w folderze /Library/Application Support:

removing adware from application support folder step 1

W pasku Przejdź do Folderu... wpisz: /Library/Application Support

removing adware from application support folder step 2
W folderze "Application Support" sprawdź wszelkie ostatnio dodane i podejrzane foldery. Przykładowo "MplayerX" lub "NicePlayer" oraz przenieś te foldery do Kosza..

step3Poszukaj plików wygenerowanych przez adware w folderze ~/Library/LaunchAgents:

removing adware from ~launch agents folder step 1


W pasku Przejdź do Folderu... i wpisz: ~/Library/LaunchAgents

removing adware from ~launch agents folder step 2

W folderze "LaunchAgents" poszukaj wszelkich ostatnio dodanych i podejrzanych plików oraz przenieś je do Kosza. Przykłady plików wygenerowanych przez adware - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist" itp. Adware powszechnie instaluje szereg plików z tym samym rozszerzeniem.

step4Poszukaj plików wygenerowanych przez adware w folderze /Library/LaunchDaemons:

removing adware from launch daemons folder step 1
W pasku Przejdź do Folderu... wpisz: /Library/LaunchDaemons

removing adware from launch daemons folder step 2W folderze "LaunchDaemons" poszukaj wszelkich podejrzanych plików. Przykładowo: "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist" itp. oraz przenieś je do Kosza.

step 5 Przeskanuj swój Mac za pomocą Combo Cleaner:

Jeśli wykonałeś wszystkie kroki we właściwej kolejności, twój Mac powinien być wolny od infekcji. Aby mieć pewność, że twój system nie jest zainfekowany, uruchom skanowanie przy użyciu programu Combo Cleaner Antivirus. Pobierz GO TUTAJ. Po pobraniu pliku kliknij dwukrotnie instalator combocleaner.dmg, w otwartym oknie przeciągnij i upuść ikonę Combo Cleaner na górze ikony aplikacji. Teraz otwórz starter i kliknij ikonę Combo Cleaner. Poczekaj, aż Combo Cleaner zaktualizuje bazę definicji wirusów i kliknij przycisk "Start Combo Scan" (Uruchom skanowanie Combo).

scan-with-combo-cleaner-1

Combo Cleaner skanuje twój komputer Mac w poszukiwaniu infekcji malware. Jeśli skanowanie antywirusowe wyświetla "nie znaleziono żadnych zagrożeń" - oznacza to, że możesz kontynuować korzystanie z przewodnika usuwania. W przeciwnym razie, przed kontynuowaniem zaleca się usunięcie wszystkich wykrytych infekcji.

scan-with-combo-cleaner-2

Po usunięciu plików i folderów wygenerowanych przez adware, kontynuuj w celu usunięcia złośliwych rozszerzeń ze swoich przeglądarek internetowych.

Usuwanie strony domowej i domyślnej wyszukiwarki narzędzie otwierające tylne drzwi xcodespy z przeglądarek internetowych:

safari browser iconUsuwanie złośliwych rozszerzeń z Safari:

Usuwanie rozszerzeń powiązanych z narzędzie otwierające tylne drzwi xcodespy z Safari:

safari browser preferences

Otwórz przeglądarkę Safari. Z paska menu wybierz "Safari" i kliknij "Preferencje...".

safari extensions window

W oknie "Preferencje" wybierz zakładkę "Rozszerzenia" i poszukaj wszelkich ostatnio zainstalowanych oraz podejrzanych rozszerzeń. Po ich zlokalizowaniu kliknij znajdujących się obok każdego z nich przycisk „Odinstaluj". Pamiętaj, że możesz bezpiecznie odinstalować wszystkie rozszerzenia ze swojej przeglądarki Safari – żadne z nich nie ma zasadniczego znaczenia dla jej prawidłowego działania.

  • Jeśli w dalszym ciągu masz problemy z niechcianymi przekierowaniami przeglądarki oraz niechcianymi reklamami - Przywróć Safari.

firefox browser iconUsuwanie złośliwych wtyczek z Mozilla Firefox:

Usuwanie dodatków powiązanych z narzędzie otwierające tylne drzwi xcodespy z Mozilla Firefox:

accessing mozilla firefox add-ons

Otwórz przeglądarkę Mozilla Firefox. W prawym górnym rogu ekranu kliknij przycisk "Otwórz Menu" (trzy linie poziome). W otwartym menu wybierz "Dodatki".

removing malicious add-ons from mozilla firefox

Wybierz zakładkę "Rozszerzenia" i poszukaj ostatnio zainstalowanych oraz podejrzanych dodatków. Po znalezieniu kliknij przycisk "Usuń" obok każdego z nich. Zauważ, że możesz bezpiecznie odinstalować wszystkie rozszerzenia z przeglądarki Mozilla Firefox – żadne z nich nie ma znaczącego wpływu na jej normalne działanie.

  • Jeśli nadal doświadczasz problemów z przekierowaniami przeglądarki oraz niechcianymi reklamami - Przywróć Mozilla Firefox.

chrome-browser-iconUsuwanie złośliwych rozszerzeń z Google Chrome:

Usuwanie dodatków powiązanych z narzędzie otwierające tylne drzwi xcodespy z Google Chrome:

removing malicious google chrome extensions step 1

Otwórz Google Chrome i kliknij przycisk "Menu Chrome" (trzy linie poziome) zlokalizowany w prawym górnym rogu okna przeglądarki. Z rozwijanego menu wybierz "Więcej narzędzi" oraz wybierz "Rozszerzenia".

removing malicious Google Chrome extensions step 2

W oknie "Rozszerzenia" poszukaj wszelkich ostatnio zainstalowanych i podejrzanych dodatków. Po znalezieniu kliknij przycisk "Kosz" obok każdego z nich. Zauważ, że możesz bezpiecznie odinstalować wszystkie rozszerzenia z przeglądarki Google Chrome – żadne z nich nie ma znaczącego wpływu na jej normalne działanie.

  •  Jeśli nadal doświadczasz problemów z przekierowaniami przeglądarki oraz niechcianymi reklamami - PrzywróćGoogle Chrome.

Kliknij, aby opublikować komentarz

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Instrukcje usuwania w innych językach
Kod QR
Narzędzie otwierające tylne drzwi XcodeSpy kod QR
Kod QR (Quick Response Code) to odczytywalny maszynowo kod, który przechowuje adresy URL oraz inne informacje. Kod ten może być odczytywany za pomocą kamery w smartfonie lub tablecie. Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Narzędzie otwierające tylne drzwi XcodeSpy na swoim urządzeniu mobilnym.
Polecamy:

Pozbądź się Narzędzie otwierające tylne drzwi XcodeSpy dzisiaj:

▼ USUŃ TO TERAZ za pomocą Combo Cleaner (Mac)

Platforma: macOS

Ocena redaktora dla Combo Cleaner:
Wybitny!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest ograniczony trzydniowy okres próbny.