Czy mój komputer Mac jest zainfekowany trojanem Flashback?

Odpowiedzi:

24

Możesz postępować zgodnie z tymi instrukcjami F-Secure, aby odinstalować / usunąć złośliwe oprogramowanie:

  1. Uruchom następujące polecenie w terminalu:

    defaults read /Applications/Safari.app/Contents/Info LSEnvironment
    
  2. Zwróć uwagę na wartość, DYLD_INSERT_LIBRARIES

  3. Przejdź do kroku 8, jeśli pojawi się następujący komunikat o błędzie:

    "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
    
  4. W przeciwnym razie uruchom następujące polecenie w terminalu:

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%
    
  5. Zwróć uwagę na wartość po "__ldpath__"

  6. Uruchom następujące polecenia w terminalu (najpierw upewnij się, że jest tylko jeden wpis, z kroku 2):

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment`
    
    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist`
    
  7. Usuń pliki uzyskane w krokach 2 i 5

  8. Uruchom następujące polecenie w terminalu:

    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
  9. Zanotuj wynik. Twój system jest już czysty tego wariantu, jeśli pojawi się komunikat o błędzie podobny do następującego:

    "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
    
  10. W przeciwnym razie uruchom następujące polecenie w terminalu:

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%
    
  11. Zwróć uwagę na wartość po "__ldpath__"

  12. Uruchom następujące polecenia w terminalu:

    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
    launchctl unsetenv DYLD_INSERT_LIBRARIES
    
  13. Na koniec usuń pliki uzyskane w krokach 9 i 11.

Aktualizacja:

Apple wydało oficjalne narzędzie do odinstalowywania złośliwego oprogramowania. Przeczytaj o tym i pobierz na tej stronie Apple KB.

Firma F-Secure wydała również narzędzie do usuwania, które można pobrać tutaj.

daviesgeek
źródło
Ok, dostałem komunikat o błędzie zarówno w kroku 3 (i kroku 9). Czy to oznacza, że ​​jestem bezpieczny?
Richard Knop
@RichardKnop Tak. Jesteś w porządku. Dzięki za pytanie, BTW.
daviesgeek
9

Flashback Checker

To jest dla twoich krewnych i przyjaciół, którzy chcą uniknąć korzystania z terminalu .

Pobierz bezpłatną aplikację z Github. Jak wspomniano w tym artykule Macworld , aplikacja jednofunkcyjna szybko sprawdzi twoją maszynę pod kątem infekcji. Aplikacja nie usuwa złośliwego oprogramowania , które zostanie pozostawione użytkownikowi, ręcznie postępując zgodnie z instrukcjami firmy F-secure .

wprowadź opis zdjęcia tutaj

Bryan Luby
źródło
4

Narzędzie do usuwania Kaspersky

... sprawdza, czy problem dotyczy komputera Mac i w razie potrzeby usuwa trojana. Możesz pobrać go na
http://support.kaspersky.com/downloads/utils/flashfake_removal_tool.zip

wprowadź opis zdjęcia tutaj

Sprawdź online, używając swojego UUID

Możesz sprawdzić, czy problem dotyczy komputera Mac przy użyciu identyfikatora UUID (uniwersalnie unikalny identyfikator) na stronie http://flashbackcheck.com/

  1. Iść do:

    /Applications/Utilites/System Information.app
    

    wprowadź opis zdjęcia tutaj

  2. Sprawdź UUID na http://flashbackcheck.com/

gentmatt
źródło
2

Java dla Mac OS X 10.6 Update 8

Apple wydało oficjalną aktualizację oprogramowania, która usunie złośliwe oprogramowanie flashback z twojego komputera. Po prostu uruchom aktualizację oprogramowania na komputerze Mac, aby ją zainstalować. Oto szczegóły z artykułu wsparcia Apple :

Ta aktualizacja zabezpieczeń Java usuwa najpopularniejsze warianty złośliwego oprogramowania Flashback.

Java dla OS X Lion 2012-003

Z aktualizacji Lion :

Ta aktualizacja zabezpieczeń Java usuwa najpopularniejsze warianty złośliwego oprogramowania Flashback.

Ta aktualizacja konfiguruje również wtyczkę internetową Java do wyłączania automatycznego wykonywania apletów Java. Użytkownicy mogą ponownie włączyć automatyczne uruchamianie apletów Java za pomocą aplikacji Java Preferences. Jeśli wtyczka internetowa Java wykryje, że żaden aplet nie był uruchamiany przez dłuższy czas, ponownie wyłączy aplety Java.

Oto artykuł pomocy technicznej Apple na temat zawartości związanej z bezpieczeństwem aktualizacji Java.

Bryan Luby
źródło
2

Szybka jedna linijka do wklejenia w Terminal.app :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment &> /dev/null && echo "You seem to have Type 1"; defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES &> /dev/null && echo "You seem to have Type 2"

O ile nic to nie da, jesteś czysty (przynajmniej znanych typów). Jeśli coś mówi, idź posprzątaj .

Ingmar Hupp
źródło