У меня есть модель MacBook Pro 2011 года с процессором Core i7 и Snow Leopard. Я обнаружил, что есть троянский конь, который теперь контролирует 600 000 компьютеров Mac .

• Как я могу узнать, управляется ли мой MacBook?
• Как я могу удалить троян?

Вы можете следовать этим инструкциям F-Secure, чтобы удалить / удалить вредоносную программу:

1. Выполните следующую команду в Терминале:

   defaults read /Applications/Safari.app/Contents/Info LSEnvironment
   

2. Принять к сведению значение, DYLD_INSERT_LIBRARIES

3. Перейдите к шагу 8, если вы получили следующее сообщение об ошибке:

   "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
   

4. В противном случае выполните следующую команду в Терминале:

   grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%
   

5. Обратите внимание на значение после "__ldpath__"

6. Выполните следующие команды в Терминале (сначала убедитесь, что есть только одна запись, начиная с шага 2):

   sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment`
   
   sudo chmod 644 /Applications/Safari.app/Contents/Info.plist`
   

7. Удалите файлы, полученные в шагах 2 и 5

8. Выполните следующую команду в Терминале:

   defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
   

9. Обратите внимание на результат. Ваша система уже очищена от этого варианта, если вы получили сообщение об ошибке, подобное следующему:

   "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
   

10. В противном случае выполните следующую команду в Терминале:

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%
    

11. Обратите внимание на значение после "__ldpath__"

12. Выполните следующие команды в терминале:

    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
    launchctl unsetenv DYLD_INSERT_LIBRARIES
    

13. Наконец, удалите файлы, полученные в шагах 9 и 11.

Обновить:

Apple выпустила официальный инструмент для удаления вредоносных программ. Прочтите об этом и загрузите его на этой странице Apple KB.

F-Secure также выпустила утилиту для удаления, которую вы можете скачать здесь.

Flashback Checker

Это для ваших родственников и друзей, которые хотят избежать использования Терминала .

Загрузите это бесплатное приложение с Github. Как упоминается в этой статье о Macworld , однофункциональное приложение быстро проверит ваш компьютер на наличие инфекции. Приложение не удаляет вредоносное ПО , которое будет оставлено на усмотрение пользователя вручную, следуя инструкциям F-secure .

Инструмент удаления Касперского

... проверяет, не затронут ли ваш Mac, и при необходимости удаляет троян. Вы можете скачать его на
http://support.kaspersky.com/downloads/utils/flashfake_removal_tool.zip

Проверьте онлайн, используя ваш UUID

Вы можете проверить, подвержен ли ваш Mac воздействию UUID (универсальный уникальный идентификатор) на http://flashbackcheck.com/

1. Перейти к:

   /Applications/Utilites/System Information.app
   

   

2. Проверьте UUID на http://flashbackcheck.com/

Java для Mac OS X 10.6, обновление 8

Apple выпустила официальное обновление программного обеспечения, которое удалит вредоносное ПО с вашего компьютера. Просто запустите обновление программного обеспечения на вашем Mac, чтобы установить его. Вот подробности из статьи поддержки Apple :

Это обновление безопасности Java удаляет наиболее распространенные варианты вредоносного ПО Flashback.

Java для OS X Lion 2012-003

Из обновления Lion :

Это обновление безопасности Java удаляет наиболее распространенные варианты вредоносного ПО Flashback.

Это обновление также настраивает подключаемый модуль Java для отключения автоматического запуска Java-апплетов. Пользователи могут повторно включить автоматическое выполнение Java-апплетов с помощью приложения Java Preferences. Если веб-плагин Java обнаружит, что апплеты не выполнялись в течение длительного периода времени, он снова отключит апплеты Java.

Вот статья поддержки Apple о безопасности содержимого обновлений Java.

Быстрая однострочная вставка в Terminal.app :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment &> /dev/null && echo "You seem to have Type 1"; defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES &> /dev/null && echo "You seem to have Type 2"

Если это ничего не выводит, вы чисты (по крайней мере, из известных типов). Если это что-то говорит, убирайся .