Apple hasí požár vzniklý Flashback softwarem

Apple hasí požár vzniklý Flashback softwarem

Podle posledních zpráv se na Macovi rozšířil malware označovaný jako Flashback, který využíval dlouho nezáplatovanou bezpečnostní díru v Javě (Apple ji záplatoval teprve minulý týden). To mu umožňuje se šířit i přes relativně slušné zabezpečení operačního systému OS X. Podle ruské bezpečnostní společnosti Dr. Web, malware nakazil více než půl miliónů Maců.

Apple začal (bohužel trochu pozdě) tento problém řešit a přislíbil vyvinout aplikaci, která pomůže uživatelům odstranit problematickou aplikaci z počítače. Současně také pracuje na zrušení všech kontrolních webů, které slouží k ovládání tohoto software. Je trochu komické, že se Apple také pokusil zrušit legitimní server společnosti Dr. Web, který sloužil k odhalení činnosti tohoto software.

Detekce Flashbacku

V aplikaci terminál vložte následující řádky (postupně):

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Jestliže váš počítač není napaden, měli by jste vidět následující výstup:

The domain/default pair of (/Users/jacqui/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist

Odstranění Flashbacku

Odstranění není již tak jednoduchá záležitost a vyžaduje trochu více práce. Finta spočívá v tom, že nejdříve musíte zjistit názvy souborů s kódem Flashbacku a ty pak odstranit jak z konfigurací příslušných souborů, tak fyzicky z disku.

  1. Spusťte v terminálu příkaz a zaznamenejte si hodnotu DYLD_INSERT_LIBRARIES:
    defaults read /Applications/Safari.app/Contents/Info LSEnvironment 
  2. Jestliže vidíte následující zprávu, přeskočte postup až k bodu 7:
    "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
  3. Spusťte následující příkaz v Terminálu (pokud neplatí bod 2):
    grep -a -o '__ldpath__[ -~]*' %cesta získaná z kroku jedna%
  4. Zaznamenejte si hodnotu po značce "__ldpath__"
  5. Ujistěte se, že v kroku 1 je zde pouze jeden záznam hodnoty DYLD_INSERT_LIBRARIES a spusťte příkaz:
    sudo defaults delete /Applications/Safari.app/Contents/InfoLSEnvironment
    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
    
  6. Smažte soubory získané v kroku 1 a 4. (Příkazy
    rm %jméno_souboru%
    nebo
    sudo rm %jméno_souboru%
  7. V Terminálus spuťte příkaz:
    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  8. Zaznamenejte si výsledek. Váš systém je již vyčištěn, pokud uvidíte zprávu "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
  9. V opačném případě spuťte příkaz:
    grep -a -o '__ldpath__[ -~]*' %cesta získaná z kroku jedna%
  10. Zaznamenejte si hodnotu po značce "__ldpath__"
  11. Spusťte si následující příkazy v Terminálu:
    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    launchctl unsetenv DYLD_INSERT_LIBRARIES
    
  12. Smažte soubory jejichž jména znáte z bodu 8 a 10.
  13. V Terminálu spuťte následující příkaz:
    ls -lA ~/Library/LaunchAgents/
  14. Teď to bude trochu komplikované. Pokud je zde jen jeden soubor, můžete v klidu pokračovat. Pokud je jich více, znamená to, že některé jsou součástí vašich regulérních aplikací, je nutné být trochu zběhlejší, aby jste věděli který z těch souborů tam opravdu patří. Doporučuje se tedy zavolat nějaké odborníka.
  15. Spuťte následuájící příkaz v Terminálu:
    defaults read ~/Library/LaunchAgents/%soubor_získaný_v_předchozím_kroku% ProgramArguments
  16. Poznamenejte si cestu. Jestliže soubor nezačíná s ".", pravděpodobně nebudete infikování touto variantou.
  17. Smažte soubor z bodu 14 a 16.
Poslat Apple hasí požár vzniklý Flashback softwarem na facebook
Publikováno 11.4.2012
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License