Meu Mac está infectado com o Trojan Flashback?

34

Eu possuo um modelo 2011 do MacBook Pro com um processador Core i7 e o Snow Leopard. Eu descobri que existe um cavalo de tróia que agora controla 600.000 Macs .

  • Como posso descobrir se meu MacBook está sendo controlado?
  • Como posso remover o Trojan?
Richard Knop
fonte

Respostas:

24

Você pode seguir estas instruções da F-Secure para desinstalar / remover o malware:

  1. Execute o seguinte comando no Terminal:

    defaults read /Applications/Safari.app/Contents/Info LSEnvironment
    
  2. Anote o valor, DYLD_INSERT_LIBRARIES

  3. Prossiga para a etapa 8 se você recebeu a seguinte mensagem de erro:

    "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
    
  4. Caso contrário, execute o seguinte comando no Terminal:

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%
    
  5. Anote o valor após "__ldpath__"

  6. Execute os seguintes comandos no Terminal (primeiro verifique se há apenas uma entrada, na etapa 2):

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment`
    
    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist`
    
  7. Exclua os arquivos obtidos nas etapas 2 e 5

  8. Execute o seguinte comando no Terminal:

    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
  9. Anote o resultado. Seu sistema já está limpo dessa variante se você receber uma mensagem de erro semelhante à seguinte:

    "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
    
  10. Caso contrário, execute o seguinte comando no Terminal:

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%
    
  11. Anote o valor após "__ldpath__"

  12. Execute os seguintes comandos no Terminal:

    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
    launchctl unsetenv DYLD_INSERT_LIBRARIES
    
  13. Por fim, exclua os arquivos obtidos nas etapas 9 e 11.

Atualizar:

A Apple lançou uma ferramenta oficial para desinstalar o malware. Leia e faça o download nesta página da Apple KB.

A F-Secure também lançou uma ferramenta de remoção, que você pode baixar aqui.

daviesgeek
fonte
Ok, recebi a mensagem de erro na etapa 3 (e na etapa 9). Isso significa que estou seguro?
9309 Richard Knop
@RichardKnop Sim. Você está bem. Obrigado por fazer a pergunta, BTW.
Daviesgeek # 9/12
9

Verificador de Flashback

Isto é para seus parentes e amigos que desejam evitar o uso do Terminal .

Faça o download deste aplicativo gratuito no Github. Conforme mencionado neste artigo da Macworld , o aplicativo de função única verificará rapidamente a sua máquina quanto à infecção. O aplicativo não remove o malware , que será deixado ao usuário seguindo manualmente as instruções da F-secure .

insira a descrição da imagem aqui

Bryan Luby
fonte
4

Ferramenta de remoção do Kaspersky

... verifica se o seu Mac é afetado e remove o cavalo de Troia, se necessário. Você pode fazer o download em
http://support.kaspersky.com/downloads/utils/flashfake_removal_tool.zip

insira a descrição da imagem aqui

Verifique online usando seu UUID

Você pode verificar se o seu Mac é afetado usando o UUID (identificador universal universal) em http://flashbackcheck.com/

  1. Vamos para:

    /Applications/Utilites/System Information.app
    

    insira a descrição da imagem aqui

  2. Verifique o UUID em http://flashbackcheck.com/

gentmatt
fonte
2

Java para Mac OS X 10.6, atualização 8

A Apple lançou uma atualização oficial de software que removerá o malware de flashback do seu computador. Basta executar a atualização de software no seu Mac para instalá-lo. Aqui estão os detalhes do artigo de suporte da Apple :

Esta atualização de segurança Java remove as variantes mais comuns do malware Flashback.

Java para OS X Lion 2012-003

Na atualização do Lion :

Esta atualização de segurança Java remove as variantes mais comuns do malware Flashback.

Esta atualização também configura o plug-in da Web Java para desativar a execução automática de miniaplicativos Java. Os usuários podem reativar a execução automática de miniaplicativos Java usando o aplicativo Java Preferences. Se o plug-in da Web Java detectar que nenhum applet foi executado por um longo período, ele desativará novamente os applets Java.

Aqui está um artigo de suporte da Apple sobre o conteúdo de segurança das atualizações de Java.

Bryan Luby
fonte
2

Uma linha rápida para colar no Terminal.app :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment &> /dev/null && echo "You seem to have Type 1"; defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES &> /dev/null && echo "You seem to have Type 2"

A menos que isso produza alguma coisa, você estará limpo (pelo menos dos tipos conhecidos). Se isso diz algo, vá limpar .

Ingmar Hupp
fonte