Мой Mac заражен трояном Flashback?


34

У меня есть модель MacBook Pro 2011 года с процессором Core i7 и Snow Leopard. Я обнаружил, что есть троянский конь, который теперь контролирует 600 000 компьютеров Mac .

  • Как я могу узнать, управляется ли мой MacBook?
  • Как я могу удалить троян?

Ответы:


24

Вы можете следовать этим инструкциям F-Secure, чтобы удалить / удалить вредоносную программу:

  1. Выполните следующую команду в Терминале:

    defaults read /Applications/Safari.app/Contents/Info LSEnvironment
    
  2. Принять к сведению значение, DYLD_INSERT_LIBRARIES

  3. Перейдите к шагу 8, если вы получили следующее сообщение об ошибке:

    "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
    
  4. В противном случае выполните следующую команду в Терминале:

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%
    
  5. Обратите внимание на значение после "__ldpath__"

  6. Выполните следующие команды в Терминале (сначала убедитесь, что есть только одна запись, начиная с шага 2):

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment`
    
    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist`
    
  7. Удалите файлы, полученные в шагах 2 и 5

  8. Выполните следующую команду в Терминале:

    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
  9. Обратите внимание на результат. Ваша система уже очищена от этого варианта, если вы получили сообщение об ошибке, подобное следующему:

    "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
    
  10. В противном случае выполните следующую команду в Терминале:

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%
    
  11. Обратите внимание на значение после "__ldpath__"

  12. Выполните следующие команды в терминале:

    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
    launchctl unsetenv DYLD_INSERT_LIBRARIES
    
  13. Наконец, удалите файлы, полученные в шагах 9 и 11.

Обновить:

Apple выпустила официальный инструмент для удаления вредоносных программ. Прочтите об этом и загрузите его на этой странице Apple KB.

F-Secure также выпустила утилиту для удаления, которую вы можете скачать здесь.


Хорошо, я получил сообщение об ошибке на шаге 3 (и шаг 9). Значит ли это, что я в безопасности?
Ричард Кноп

@RichardKnop Да. Ты хорош. Спасибо за вопрос, кстати.
Daviesgeek

9

Flashback Checker

Это для ваших родственников и друзей, которые хотят избежать использования Терминала .

Загрузите это бесплатное приложение с Github. Как упоминается в этой статье о Macworld , однофункциональное приложение быстро проверит ваш компьютер на наличие инфекции. Приложение не удаляет вредоносное ПО , которое будет оставлено на усмотрение пользователя вручную, следуя инструкциям F-secure .

введите описание изображения здесь


4

Инструмент удаления Касперского

... проверяет, не затронут ли ваш Mac, и при необходимости удаляет троян. Вы можете скачать его на
http://support.kaspersky.com/downloads/utils/flashfake_removal_tool.zip

введите описание изображения здесь

Проверьте онлайн, используя ваш UUID

Вы можете проверить, подвержен ли ваш Mac воздействию UUID (универсальный уникальный идентификатор) на http://flashbackcheck.com/

  1. Перейти к:

    /Applications/Utilites/System Information.app
    

    введите описание изображения здесь

  2. Проверьте UUID на http://flashbackcheck.com/


2

Java для Mac OS X 10.6, обновление 8

Apple выпустила официальное обновление программного обеспечения, которое удалит вредоносное ПО с вашего компьютера. Просто запустите обновление программного обеспечения на вашем Mac, чтобы установить его. Вот подробности из статьи поддержки Apple :

Это обновление безопасности Java удаляет наиболее распространенные варианты вредоносного ПО Flashback.

Java для OS X Lion 2012-003

Из обновления Lion :

Это обновление безопасности Java удаляет наиболее распространенные варианты вредоносного ПО Flashback.

Это обновление также настраивает подключаемый модуль Java для отключения автоматического запуска Java-апплетов. Пользователи могут повторно включить автоматическое выполнение Java-апплетов с помощью приложения Java Preferences. Если веб-плагин Java обнаружит, что апплеты не выполнялись в течение длительного периода времени, он снова отключит апплеты Java.

Вот статья поддержки Apple о безопасности содержимого обновлений Java.


2

Быстрая однострочная вставка в Terminal.app :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment &> /dev/null && echo "You seem to have Type 1"; defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES &> /dev/null && echo "You seem to have Type 2"

Если это ничего не выводит, вы чисты (по крайней мере, из известных типов). Если это что-то говорит, убирайся .

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.