Ostatnie złośliwe oprogramowanie Flashback dla systemu OS X spowodowało pewne poruszenie w społeczności użytkowników komputerów Mac, a chociaż wpłynęło to tylko na ułamek bazy instalacyjnej systemu OS X, wciąż znajdowali się ludzie, którzy rzeczywiście znaleźli złośliwe oprogramowanie w swoich systemach. do CNET i na forach dyskusyjnych Apple.

W większości przypadków ludzie znaleźli szkodliwe oprogramowanie w swoich systemach, instalując skaner antywirusowy lub zaporę sieciową, na przykład Little Snitch, i otrzymali ostrzeżenie o znalezieniu szkodliwego oprogramowania lub pliku programu z krótką nazwą z okresem próbowania kontaktu ze zdalnymi serwerami za pośrednictwem dziwnie brzmiących nazw domen, takich jak cuojshtbohnt.com i gangstaparadise.rr.nu.

Te wyraźne próby pobudziły śledztwo w sprawie szkodliwego oprogramowania i wykazały, że ta aktywność jest pierwszą częścią ataku złośliwego oprogramowania, w którym szkodliwe oprogramowanie zepsuło piaskownicę Java, a program próbuje pobrać ładunek, który będzie następnie nakładany na aplikacje lokalne, zmieniając uruchom zmienne środowiskowe w obrębie programu lub na koncie użytkownika.

Do tej pory złośliwe oprogramowanie zostało dość dobrze opisane i nie jest wirusowe, więc dla każdego konkretnego wariantu instaluje się w jednym miejscu i uruchamia stamtąd, aby wpłynąć na system. W rezultacie, po scharakteryzowaniu wariantu, powinieneś być w stanie usunąć go z systemu, wykonując szczegółowe instrukcje. Jednak złośliwe oprogramowanie może się szybko zmienić (jak pokazała Flashback) i dlatego, że mogą pojawić się nowe warianty, które zmienią tryby ataku, mogą być tacy, którzy nie mogą określić, z jakiego wariantu napotkali i wątpią w swoje umiejętności ręcznego usuwania złośliwego oprogramowania ze strony ich systemy.

W takich sytuacjach można zastosować dwa podejścia. Pierwszym z nich jest pobranie renomowanego skanera złośliwego oprogramowania, takiego jak VirusBarrier, Sophos lub ClamXav, zainstalowanie i zaktualizowanie go, a następnie przeskanowanie systemu pod kątem znanych wariantów złośliwego oprogramowania. W ten sposób można przynajmniej poddać kwarantannie wszystkie znalezione szkodliwe pliki.

Jest to zalecane podejście; opiera się jednak na definicjach szkodliwego oprogramowania, które mogą być opóźnione w stosunku do początkowych ustaleń szkodliwego oprogramowania.

Drugie podejście polega na rezygnacji z próby zarządzania złośliwym oprogramowaniem i przeprowadzenia ponownej instalacji systemu operacyjnego. Zapewni to, że zaczniesz od czystego arkusza, ale będzie to trochę obciążające dla niektórych ludzi, szczególnie, że możesz nie być w stanie ufać, że kopie zapasowe Time Machine lub klony systemowe będą wolne od złośliwego oprogramowania i dlatego mogą nie można po prostu przywrócić systemu z kopii zapasowej.

Jeśli pamiętasz dokładną instancję, kiedy szkodliwe oprogramowanie zostało zainfekowane przez system, na przykład gdy zainstalowałeś ostatnią aktualizację Flasha, która mogła być złośliwym oprogramowaniem, lub gdy po raz pierwszy zobaczyłeś inne znaki ostrzegawcze dotyczące złośliwego oprogramowania, to może być w stanie ponownie zainstalować przy użyciu kopii zapasowej przed wystąpieniem problemu; jednak w wielu przypadkach może nie być możliwe niezawodne zidentyfikowanie takich instancji.

Jeśli zdecydowałeś, że najlepiej będzie, gdy będziesz bezpieczny i wyczyścisz system i zaczniesz od nowa, postępując zgodnie z tą procedurą, powinieneś być w stanie to zrobić, zachowując swoje dane.

1. Synchronizuj i twórz kopie zapasowe

   Najpierw upewnij się, że system jest poprawnie zsynchronizowany z usługami opartymi na chmurze (iCloud, Google, Yahoo itd.), Aby zapewnić zapisywanie takich elementów jak kontakty i kalendarze. Możesz także przejść do książki adresowej, programu iCal i innych programów, z których regularnie korzystasz, a także eksportować kalendarze, kontakty i inne dane, aby zapisać je na dysku flash lub innym oddzielnym nośniku. Takie działania zapewnią, że będziesz mógł przywrócić niektóre z tych elementów bez polegania na usługach synchronizacji, aby móc nimi zarządzać.

   Oprócz synchronizacji upewnij się, że masz kopię zapasową systemu. Użyj Time Machine lub narzędzia do klonowania, aby zarchiwizować pliki lub przynajmniej ręcznie skopiuj wszystkie foldery z katalogu domowego na zewnętrzny dysk twardy i zrób to dla każdego aktywnego konta w systemie, logując się do każdego z nich i wykonując te operacje działania.

   Po zakończeniu tworzenia kopii zapasowej odłącz i odłącz zewnętrzny dysk twardy użyty do utworzenia kopii zapasowej.

2. Wycofanie autoryzacji lub wyrejestrowanie aplikacji Niektóre typowe aplikacje, takie jak iTunes, mają funkcje autoryzacji i rejestracji służące do przeglądania i zarządzania zawartością, dlatego pamiętaj o ponownym autoryzowaniu tych funkcji przed kontynuowaniem, ponieważ mogą wystąpić problemy przy ponownym konfigurowaniu programów. Na przykład program iTunes zezwala tylko na 5 komputerów, które mają uprawnienia do określonego konta iTunes Store, więc możesz cofnąć autoryzację komputera, wybierając opcję w menu "Sklep", aby uniemożliwić sklepowi założenie, że masz autoryzację na więcej systemów niż Ty. posiadać.
3. Sformatuj dysk

   Zrestartuj system na płycie instalacyjnej OS X dla OS X 10.6 lub wcześniejszej (przytrzymaj klawisz C podczas uruchamiania z DVD w napędzie optycznym) lub uruchom ponownie za pomocą klawiszy Command-R przeznaczonych dla systemu OS X 10.7. Po załadowaniu instalatora systemu OS X wybierz swój język, a następnie otwórz Narzędzie dyskowe (dostępne w menu Narzędzia, jeśli nie jest wyświetlane w oknie Narzędzia).

   W Narzędziu dyskowym wybierz wolumin rozruchowy, a następnie użyj karty Wymaż, aby sformatować go na "Mac OS X Extended (z kroniką)." Ten proces powinien być dość szybki, a po zakończeniu powinien pozostać pusty pusty dysk.

4. Zainstaluj ponownie OS X

   Zamknij Narzędzie dyskowe, a następnie otwórz instalator OS X. Nie wybieraj opcji przywracania z kopii zapasowej. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby wybrać nowo sformatowany dysk twardy i ponownie zainstalować system OS X, a następnie poczekaj na zakończenie instalacji.

5. Stwórz nowe konto

   Gdy system OS X jest świeżo zainstalowany, zapyta, czy chcesz przenieść dane z kopii zapasowej lub z innego komputera. Unikaj tego, a zamiast tego utwórz dla siebie nowe konto użytkownika (możesz użyć tej samej nazwy konta i innych informacji).

6. Zaktualizuj system

   Podczas pierwszego logowania na swoje konto przejdź do Uaktualnienia oprogramowania (w menu Apple) i zaktualizuj system do najnowszej wersji. Uruchamiaj aktualizację oprogramowania kilka razy, dopóki nie będą dostępne żadne aktualizacje.

7. Dezaktywuj Javę

   Najnowsze systemy docelowe szkodliwego oprogramowania Flashback malware z lukami w Javie. Podczas gdy Apple przestał wysyłać Java z OS X Lion, wcześniejsze wersje OS X mają je domyślnie zainstalowane. Często Java nie jest potrzebna do uruchamiania aplikacji w OS X, więc jeśli nie masz na to szczególnej potrzeby, wyłącz ją. Nawet jeśli podejrzewasz, że możesz potrzebować Javy, możesz zacząć od jej wyłączenia, a następnie aktywować ją tylko na podstawie zapotrzebowania.

   Istnieją dwa ogólne sposoby zarządzania Javą w systemie OS X. Pierwszym z nich są ustawienia specyficzne dla aplikacji, takie jak preferencje Safari, Firefox i innych przeglądarek internetowych, w których można znaleźć ustawienia wyłączania wtyczki Java i zarządzania Java ( nie wyłączaj JavaScript). Te ustawienia zapewnią, że określone programy nie będą korzystać z Javy, a większość z nich wystarczy, aby uniemożliwić korzystanie z Java w systemie; Jeśli jednak zresetujesz Safari lub zainstalujesz nową przeglądarkę internetową, możesz nieumyślnie użyć Javy.

   Aby zapobiec niezamierzonemu użyciu Javy przez programy, możesz otworzyć narzędzie Preferencje Java w folderze / Applications / Utilities / i odznacz wymienione środowiska wykonawcze Java, aby wyłączyć je w systemie. Jeśli po otwarciu preferencji Java otrzymasz ostrzeżenie o konieczności instalacji Java, system nie zainstalował go i nie musisz robić nic więcej.

   Jeśli w systemie jest zainstalowana i aktywna Java, należy zastosować najnowszą aktualizację oprogramowania Java i rozważyć wyłączenie jej w przeglądarkach internetowych.

8. Przywróć dane z kopii zapasowej

   Następnym krokiem jest skopiowanie danych z powrotem do systemu z kopii zapasowych. Nie używaj do tego narzędzia Apple Migration Assistant, ponieważ spowoduje to przywrócenie folderów i aplikacji, które mogły zostać zmienione przez złośliwe oprogramowanie, więc zamiast tego skopiuj pliki z Dokumentów, Filmów, Muzyki i innych folderów katalogu domowego do odpowiednich lokalizacji w swoim konto użytkownika.

   Obecne złośliwe oprogramowanie Flashback wpłynęło na zawartość biblioteki użytkownika, w szczególności folderu Agencje uruchamiania, i gdy można przywrócić zawartość folderu do nowej biblioteki użytkownika w celu zachowania niektórych ustawień i konfiguracji, w celu zachowania dodatkowej ostrożności w w tym podejściu najlepiej jest pozostawić ten folder samodzielnie i przywracać pojedyncze elementy tylko w razie potrzeby.

   W tym momencie możesz skonfigurować usługi iCloud lub inne usługi synchronizacji w preferencjach systemowych, a następnie uruchomić książkę adresową, pocztę, iCal i inne programy używane do konfigurowania tych programów i kont, których używasz. Jeśli brakuje Twoich kontaktów i kalendarzy, możesz je ponownie zaimportować z wcześniej utworzonych ręcznych kopii zapasowych.

   Wykonaj kroki 6 i 7 dla wszystkich dodatkowych kont użytkowników w systemie, najpierw tworząc konto, dezaktywując Javę, a następnie przywracając dane konta z kopii zapasowej.

9. Zainstaluj ponownie aplikacje

   Następnym krokiem po przywróceniu kont jest ponowna instalacja używanych aplikacji. Podczas gdy poprzednia grupa aplikacji została utworzona przed rozpoczęciem tej procedury, należy unikać ich przywracania lub otwierania, ponieważ w jednym trybie infekcji szkodliwe oprogramowanie Flashback bezpośrednio zmienia niektóre z tych programów. Zamiast tego użyj kopii zapasowej jako punktu odniesienia dla wcześniejszych aplikacji i zainstaluj je ponownie na dyskach instalacyjnych, w sklepie Mac App Store lub w inny sposób, w jaki je pierwotnie pozyskałeś.

   Po zainstalowaniu aplikacji należy je w pełni zaktualizować, a następnie otworzyć i skonfigurować zgodnie z własnymi preferencjami.

   W tym momencie system powinien powrócić do stanu użytecznego i powinieneś być w stanie kontynuować swój workflow, tak jak przed instalacją. Jeśli zauważysz, że brakuje niektórych wymaganych czcionek, dźwięków lub innych plików, których potrzebują twoje aplikacje, możesz uzyskać do nich dostęp z folderu globalnego / biblioteki z kopii zapasowej lub z folderu / Library z konta użytkownika.

Ostatnim krokiem w tym procesie jest ochrona przed dalszą infekcją. Podczas wyłączania Java, jak wspomniano powyżej, jest jeden krok, możesz wziąć dodatkowe, aby pomóc zabezpieczyć system. Zainstaluj odwrotną zaporę sieciową, taką jak Little Snitch, aby pomóc w wykryciu i zablokowaniu programów z telefonowania do domu na zdalnych serwerach i rozważ zainstalowanie programu antywirusowego.

Chociaż nie trzeba konfigurować narzędzia antywirusowego, aby skrupulatnie skanować wszystkie pliki na żądanie, można skonfigurować je tak, aby skanowały tylko zwykłe foldery do pobierania (takie jak folder Pulpit lub Pobrane w ramach konta użytkownika), a następnie raz w tygodniu lub być może raz w miesiącu skanuje cały system. Na razie, pomimo najnowszych wiadomości o złośliwym oprogramowaniu, powinno to wystarczyć do ochrony przed złośliwym oprogramowaniem i zapewnienia wystarczającej ochrony.

ZAKTUALIZOWANO: 4/8/2012, 12:30 pm - Dodano informacje o wycofywaniu aplikacji przed formatowaniem (dzięki czytnikowi MacFixIt Michael N.)