Mac Flashback malware: co to jest i jak się go pozbyć (FAQ)

Platforma Apple Mac od dawna jest promowana jako bezpieczniejsza niż konkurencja, ale ponieważ sprzedaż Mac i udział w rynku rosną, stał się on większym celem.

Nigdzie nie jest to tak klarowne, jak w przypadku Flashback Trojana, złośliwego kawałka złośliwego oprogramowania, którego zadaniem jest kradzież danych osobowych, podszywając się za bardzo popularne wtyczki do przeglądarek. Wczoraj rosyjska firma antywirusowa Dr Web powiedziała, że ​​około 600 000 komputerów Mac jest teraz zainfekowanych w wyniku nieświadomej instalacji oprogramowania przez użytkowników.

Oto krótkie FAQ na temat trojana Flashback, w tym informacje o tym, co to jest, jak określić, czy je posiadasz i kroki, które możesz wykonać, aby się go pozbyć.

Czym dokładnie jest Flashback?

Flashback to rodzaj złośliwego oprogramowania zaprojektowanego do chwytania haseł i innych informacji od użytkowników za pośrednictwem ich przeglądarki internetowej i innych aplikacji, takich jak Skype. Użytkownik zazwyczaj popełnia błąd podczas legalnej wtyczki przeglądarki podczas odwiedzania złośliwej witryny sieci Web. W tym momencie oprogramowanie instaluje kod przeznaczony do gromadzenia danych osobowych i wysyłania ich na zdalne serwery. W swoich najnowszych wcieleniach oprogramowanie może instalować się bez interakcji użytkownika.

Kiedy po raz pierwszy się pojawił?

Flashback, jaki znamy, pojawił się pod koniec września ubiegłego roku, udając instalator Adobe Flash, szeroko stosowanej wtyczki do strumieniowego przesyłania wideo i interaktywnych aplikacji, których Apple nie dostarcza już na swoje komputery. Szkodliwe oprogramowanie ewoluowało, aby kierować na środowisko wykonawcze Java w systemie OS X, gdzie użytkownicy odwiedzający złośliwe witryny byli następnie proszeni o zainstalowanie go na swoim komputerze w celu wyświetlenia zawartości sieci Web. Bardziej zaawansowane wersje będą instalowane cicho w tle bez konieczności podawania hasła.

Jak zainfekował tak wiele komputerów?

Prostą odpowiedzią jest to, że oprogramowanie zostało zaprojektowane, aby to dokładnie zrobić. W swoim pierwszym wcieleniu złośliwe oprogramowanie wyglądało bardzo podobnie do instalatora Flash Adobe. To nie pomogło, że Apple nie wysyłał Flasha na swoje komputery przez ponad rok, prawdopodobnie tworząc pulę użytkowników, którzy częściej uruchamiają instalator, aby przeglądać popularne witryny internetowe uruchamiane w programie Flash. W nowszych wersjach związanych z Javą oprogramowanie mogło się zainstalować bez konieczności klikania przez użytkownika lub podawania hasła.

Co również nie pomogło, to sposób, w jaki Apple zajmuje się Javą. Zamiast po prostu korzystać z aktualnej publicznej wersji Java, firma tworzy i utrzymuje swoje własne wersje. Jak się okazało, twórcy szkodliwego oprogramowania wykorzystali jedną lukę, którą Oracle załatało w lutym. Apple nie było w stanie naprawić swojej wersji Java do kwietnia.

Co Apple zrobił na ten temat?

Apple ma swój własny skaner szkodliwego oprogramowania wbudowany w OS X o nazwie XProtect. Od premiery Flashback narzędzie bezpieczeństwa zostało zaktualizowane dwukrotnie, aby zidentyfikować i chronić przed kilkoma wariantami Flashback.

Nowsza wersja tego szkodliwego oprogramowania zaszła jednak wokół XProtect, uruchamiając jego pliki przez Javę. Apple zamknęło główny punkt wejścia szkodliwego oprogramowania za pomocą aktualizacji Java 3 kwietnia i od tego czasu wydało narzędzie do usuwania w ramach kolejnej aktualizacji Java.

Uwaga: poprawki zabezpieczeń Java są dostępne tylko w systemie Mac OS X 10.6.8 i nowszych wersjach, więc jeśli używasz OS X 10.5 lub wcześniejszego, nadal będziesz narażony na atak. Firma Apple przestała dostarczać aktualizacje oprogramowania dla tych systemów operacyjnych.

Jak mogę sprawdzić, czy mam go?

W tej chwili najłatwiejszym sposobem sprawdzenia, czy komputer został zainfekowany, jest przejście do firmy F-Secure zajmującej się bezpieczeństwem i pobranie oprogramowania do wykrywania i usuwania treści Flashback. Postępuj zgodnie z instrukcjami tutaj, jak uzyskać i używać go. Firma ochroniarska Firma Symantec oferuje własne, samodzielne narzędzie marki Norton, które można pobrać tutaj.

Alternatywnie, możesz uruchomić trzy polecenia w Terminalu, oprogramowanie, które znajdziesz w folderze Narzędzia w folderze Aplikacje Maca. Jeśli chcesz go znaleźć bez kopania, po prostu wykonaj wyszukiwanie Spotlight dla "Terminal".

Tam, skopiuj i wklej każdy z poniższych ciągów kodu do okna terminala. Polecenie uruchomi się automatycznie:

wartości domyślne read /Applications/Safari.app/Contents/Info LSEnvironment

wartości domyślne to read /Applications/Firefox.app/Contents/Info LSEnvironment

domyślnie czyta ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

Jeśli twój system jest czysty, polecenia powiedzą ci, że te domena / domyślne pary "nie istnieją". Jeśli jesteś zainfekowany, wypluje on łatkę dotyczącą tego, gdzie złośliwe oprogramowanie zainstalowało się w twoim systemie.

Och, mam to. Jak mogę go usunąć?

Korzystając z jednego z powyższych, wyżej wymienione narzędzia F-Secure lub Norton automatycznie usuwają złośliwe oprogramowanie z komputera bez żadnych dalszych kroków. Jeśli z jakiegoś powodu nie podoba Ci się użycie jednego z tych narzędzi innych firm, Topher Kessler z CNET dostarcza krok po kroku, jak usunąć Flashback z komputera Mac. Proces ten wymaga również przeskoczenia do Terminalu i uruchomienia tych poleceń, a następnie śledzenia lokalizacji zainfekowanych plików, a następnie ich ręcznego usunięcia.

Na dobrą sprawę warto również zmienić hasła online w instytucjach finansowych i innych bezpiecznych usługach, które mogły być używane podczas włamywania na Twój komputer. Nie jest jasne, czy dane te były kierowane, rejestrowane i wysyłane w ramach ataku, ale jest to sprytne zachowanie zapobiegawcze, które warto wykonywać regularnie.

Powiązane historie

  • Program do usuwania złośliwego oprogramowania Flashback firmy Apple jest już dostępny
  • Flashback to największe zagrożenie dla szkodliwego oprogramowania dla komputerów Mac, mówią eksperci
  • Ponad 600 000 komputerów Mac zainfekowanych botnetem Flashback
  • Aktualizacja Java dla poprawek OS X Flashback exploita
  • ZDNet: Nowa epidemia złośliwego oprogramowania dla Mac wykorzystuje słabości w ekosystemie Apple

Więc teraz, gdy poprawki są tutaj, czy jestem bezpieczny?

Jednym słowem, nie. Autorzy Flashback już wykazali skłonność do zmiany złośliwego oprogramowania w celu obejścia nowych poprawek bezpieczeństwa.

Rada CNET doradza przede wszystkim, aby pobrać oprogramowanie tylko z zaufanych źródeł. Obejmuje to witryny znanych i zaufanych twórców oprogramowania, a także zabezpieczone repozytoria, takie jak Download.com CNET. Ponadto, jako kolejna reguła, dobrze jest zachować dodatki firm zewnętrznych jak najbardziej aktualne, aby być na bieżąco z wszelkimi aktualizacjami zabezpieczeń. Jeśli chcesz być jeszcze bezpieczniejszy, trzymaj się z dala od Javy i innych dodatków systemowych, chyba że są potrzebne zaufanemu oprogramowaniu lub serwisowi sieciowemu.

Bloger CNET Topher Kessler i starszy redaktor naczelny CNET Seth Rosenblatt przyczynili się do tego sprawozdania.

Zaktualizowany o godzinie 13:40 czasu późnego w dniu 5 kwietnia ze zaktualizowanymi instrukcjami usuwania. Zaktualizowany 6 kwietnia o godz. 7:44 czasu pacyficznego z informacją o drugiej aktualizacji od Apple i o 13:55 czasu pacyficznego z informacjami na temat internetowego narzędzia do wykrywania Dr Web. Zaktualizowano 9 kwietnia o godz. 12.30 PT z niezależnym potwierdzeniem, że formularz Dr. Web jest bezpieczny dla ludzi. Zaktualizowany po raz kolejny o godzinie 16:00 PT 12 kwietnia, aby odnotować wydanie i szczegóły narzędzia do usuwania Apple.

Popularne Wiadomości

Odkryj więcej miejsc, w których możesz korzystać z Apple Pay za pomocą tej bezpłatnej aplikacji

Jak korzystać z subskrypcji Facebooka

Zatrzymaj aplikacje przed dostępem do kamery i mikrofonu komputera Mac

Jak ustawić Amazon Instant Video na Nintendo Wii

Oczyść iTunes, ukrywając Apple Music

Oto, gdzie możesz teraz zamówić PlayStation Classic

 

Zostaw Swój Komentarz