Когато Apple компютър се зарази, това си е като новина. Когато същото се случи с компютри работещи под Windows, това си е обикновен ден. Над 600 000 компютъра работещи под Mac OS X са заразени и работят в ботнет мрежа. Новия вирус/троянски кон наречен Flashback Trojan не е написан специално за Mac. Вируса използва уязвимост в Java (която не е продукт на Apple).
След отваряне на заразен сайт, вируса ви "пита" за паролата с която се логвате в компютъра си, като се представя за ъпгрейд на Adobe Flash за вашия браузер.
След като се заразите започва интересната част от троянеца. Прави се проверка на заразения компютър дали има инсталиран Skype или Microsoft Office. Ако има инсталирана някоя от тези програми, троянеца се самоунищожава. След тази проверка, се прави проверка за специализирани софтуери инсталирани на машината а именно Little Snitch, Packet Peeper, XCode Mac developer tools и за налична анвитирусна програма. Наличието на такива програми на компютъра обикновено означава, че компютъра се ползва от поне малко запознат с ИТ технологиите и компютърно грамотен човек, който ще забележи появата на вируса. При наличието на която и да е от тези програми, вируса пак се самоунищожава.
Ако проверките до тук са минали и всичко е наред, вируса започва да отваря сайтове и да клика на реклами, като по този начин генерира печалба на евентуалните създатели.
От Apple пуснаха поправка в Mac OS X, която поправя грешката в Java и след пускането на поправката, няма начин да се заразите с точно този тип атака.
Ако сте някой от тези 600 000 заразени ето как можете да проверите на 100% дали сте заразени, и как да почистите своя компютър без помоща на специалист:
1. Пускате Терминал от /Applications/Utilities . След това пишете/копирата и поставяте, всеки един ред последователно един след друг
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
1.1 Ако в отговор на пуснатите команди получите :
The domain/default pair of (/Users/jacqui/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
значи за момента не сте заразени. Препоръчително е веднага да пуснете ъпдейт на операционната система.
1.2 Ако получите различен отговор, значи компютъра е заразен и трябва да преминете на стъпка 2
2. Пускате пак Терминал-а и пишете ( всичко е тествано от F - Secure )
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2.1 Запомнете променливата от DYLD_INSERT_LIBRARIES
2.2 Ако получите грешка"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist" преминете на стъпка 3
2.3 Ако не получите грешката от предишната стъпка пуснете като замените "path_obtained_in_step2" с променливата от стъпка 2.1
grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2.1%
2.4 Запомнете променливата след "__ldpath__"
2.5 Напишете тези команди една след друга:
sudo defaults delete /Applications/Safari.app/Contents/InfoLSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
2.6 Изтрийте файловете от стъпка 2.1 и 2.4
3. Напишете и пуснете след това следната команда в терминала:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
3.1 Ако получите грешка "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist", вашата система е почистена от вируса. Съветваме ви да пуснете ъпдейт след почистването и.
3.2 Ако не получите грешка пуснете следната команда, като замените path_obtained_in_step3.1 с пътя изписан в предишната стъпка :
grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step3.1%
3.3 Запомнете променливата след "__ldpath__"
3.4 Пуснете следната команда, една след друга
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
3.5 Изтрийте файловете от стъпка 3.1 и 3.3
4. След изтриването на файловете от предишната стъпка пуснете следната команда
ls -lA ~/Library/LaunchAgents/
4.1 Запомнете името на файла и пуснете следната команда, като замените filename_obtained_in_step4 с файла от стъпка 4
defaults read ~/Library/LaunchAgents/%filename_obtained_in_step4% ProgramArguments
4.2 Запомнете пътя на файла който ви изписва в стъпка 4.1 и ако той не започва с ".", има голяма вероятност да сте заразен с нов вариант на вируса. Посъветвайте се с някоя фирма да почисти компютъра ви.
4.3 Ако файла започва с "." изтрийте файловете от стъпка 4.1 и 4 и пуснете ъпдейт на операционната система.
