Как да откриете и да се отървете от троянския кон Flashback, Mac, iPhone, iPad и още блог
Можете да намерите повече информация за троянския кон Flashback на тази връзка.
Проверка за зловреден софтуер
Установяването на наличието на Flashback в системата е доста просто. За да направим това, трябва да изпълним две прости команди в терминала (може да се намери в папката /Applications/Utilities):
по подразбиране се чете /Applications/Safari.app/Contents/Info LSEnvironment
Ако в резултат на изпълнение на тези команди получите съобщения като следното, тогава не трябва да се притеснявате още:
Двойката домейн/по подразбиране на (/Users/Deavy/.MacOSX/environment, DYLD_INSERT_LIBRARIES) не съществува
Двойката домейн/по подразбиране на (/Applications/Safari.app/Contents/Info, LSEnvironment) не съществува
Дори ако получите подобен резултат, силно препоръчвам да стартирате Software Update и да инсталирате всички налични в момента Java актуализации за OS X. Като друга мярка за сигурност можете да деактивирате стартирането на Java аплети (наскоро написах как да направите това в Lion и Snow Leopard).
Как да се отървете от Flashback
Други резултати показват троянска инфекция. За щастие не се отчайвайте, защото можете да премахнете Flashback ръчно, дори и да е малко по-трудно.
1. Първо изпълнете командата в терминала:
по подразбиране се чете /Applications/Safari.app/Contents/Info LSEnvironment
2. Запомнете или запишете стойността на променливата DYLD_INSERT_LIBRARIES.
3. Ако получите съобщението „Двойката домейн/по подразбиране на (/Applications/Safari.app/Contents/Info, LSEnvironment) не съществува“, преминете към стъпка 8.
4. В противен случай изпълнете нова команда. Не забравяйте да използвате като негов параметърпът, получен в стъпка 2:
grep -a -o '__ldpath__[-
5. Запомнете или запишете стойността на променливата __ldpath__
6. Изпълнете следните команди в терминала (но първо се уверете, че сте получили само една стойност в стъпка 2):
sudo по подразбиране изтрива /Applications/Safari.app/Contents/InfoLSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
7. Сега изтрийте файловете, получени в стъпки 2 и 5.
8. Върнете се отново в терминала и изпълнете командата:
9. Запомнете или запишете резултата. Ако получите подобно съобщение „Двойката домейн/по подразбиране на (/Users/Deavy/.MacOSX/environment, DYLD_INSERT_LIBRARIES) не съществува“, тогава системата е чиста.
10. В противен случай изпълнете командата, като използвате пътя от стъпка 9 като параметър:
grep -a -o '__ldpath__[-
11. Запишете или запомнете стойността на променливата __ldpath__
12. Изпълнете още няколко команди в терминала:
launchctl unsetenv DYLD_INSERT_LIBRARIES
13. Изтрийте файловете, получени в стъпки 9 и 11.
14. И сега най-трудното. Трябва да се върнете към терминала и да изпълните командата
Той ще върне списък със софтуер, който стартира при стартиране на системата. Ако сте използвали OS X от дълго време, най-вероятно ще има повече от един резултат в получения списък. В този случай F-Secure препоръчва да се свържете с техния екип за поддръжка, но ние ще се опитаме да използваме мозъка си. Ще трябва да изберете най-подозрителните plist файлове с имена като "com.java.update.plist" и да изпълните следната команда върху тях:
Теоретично можете да използвате всички файлове от списъка [1]. В някои случаи ще получите определен резултат [2], в някои случаи няма да [3]. Но трябва да обърнете внимание на името на стартиращия обект [4]. Ако тозапочва с точка и пътят до файла е подозрителен и не се отнася за програмите, които използвате, тогава този обект, заедно с plist файла, ще трябва да бъдат изтрити.
Но се надявам, че всичко е наред с вас и няма да се стигне до използването на втората част от инструкциите.