Podle posledních zpráv se na Macovi rozšířil malware označovaný jako Flashback, který využíval dlouho nezáplatovanou bezpečnostní díru v Javě (Apple ji záplatoval teprve minulý týden). To mu umožňuje se šířit i přes relativně slušné zabezpečení operačního systému OS X. Podle ruské bezpečnostní společnosti Dr. Web, malware nakazil více než půl miliónů Maců.
Apple začal (bohužel trochu pozdě) tento problém řešit a přislíbil vyvinout aplikaci, která pomůže uživatelům odstranit problematickou aplikaci z počítače. Současně také pracuje na zrušení všech kontrolních webů, které slouží k ovládání tohoto software. Je trochu komické, že se Apple také pokusil zrušit legitimní server společnosti Dr. Web, který sloužil k odhalení činnosti tohoto software.
Detekce Flashbacku
V aplikaci terminál vložte následující řádky (postupně):
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES defaults read /Applications/Safari.app/Contents/Info LSEnvironment defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
Jestliže váš počítač není napaden, měli by jste vidět následující výstup:
The domain/default pair of (/Users/jacqui/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
Odstranění Flashbacku
Odstranění není již tak jednoduchá záležitost a vyžaduje trochu více práce. Finta spočívá v tom, že nejdříve musíte zjistit názvy souborů s kódem Flashbacku a ty pak odstranit jak z konfigurací příslušných souborů, tak fyzicky z disku.
- Spusťte v terminálu příkaz a zaznamenejte si hodnotu DYLD_INSERT_LIBRARIES:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
- Jestliže vidíte následující zprávu, přeskočte postup až k bodu 7:
"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist" - Spusťte následující příkaz v Terminálu (pokud neplatí bod 2):
grep -a -o '__ldpath__[ -~]*' %cesta získaná z kroku jedna%
- Zaznamenejte si hodnotu po značce "__ldpath__"
- Ujistěte se, že v kroku 1 je zde pouze jeden záznam hodnoty DYLD_INSERT_LIBRARIES a spusťte příkaz:
sudo defaults delete /Applications/Safari.app/Contents/InfoLSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
- Smažte soubory získané v kroku 1 a 4. (Příkazy
rm %jméno_souboru%
nebosudo rm %jméno_souboru%
- V Terminálus spuťte příkaz:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
- Zaznamenejte si výsledek. Váš systém je již vyčištěn, pokud uvidíte zprávu "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
- V opačném případě spuťte příkaz:
grep -a -o '__ldpath__[ -~]*' %cesta získaná z kroku jedna%
- Zaznamenejte si hodnotu po značce "__ldpath__"
- Spusťte si následující příkazy v Terminálu:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
- Smažte soubory jejichž jména znáte z bodu 8 a 10.
- V Terminálu spuťte následující příkaz:
ls -lA ~/Library/LaunchAgents/
- Teď to bude trochu komplikované. Pokud je zde jen jeden soubor, můžete v klidu pokračovat. Pokud je jich více, znamená to, že některé jsou součástí vašich regulérních aplikací, je nutné být trochu zběhlejší, aby jste věděli který z těch souborů tam opravdu patří. Doporučuje se tedy zavolat nějaké odborníka.
- Spuťte následuájící příkaz v Terminálu:
defaults read ~/Library/LaunchAgents/%soubor_získaný_v_předchozím_kroku% ProgramArguments
- Poznamenejte si cestu. Jestliže soubor nezačíná s ".", pravděpodobně nebudete infikování touto variantou.
- Smažte soubor z bodu 14 a 16.
Odkazy z novinek:
