Slik fjerner du Flashback-skadelig programvare fra OS X

Selv om OS X var relativt tom for skadelig programvare de første 10 årene av bruk, har nylig skadet programvare oppskåret som har påvirket et betydelig antall Mac-systemer.

En av de første var MacDefender-falsk antivirus-svindel, som hadde folk som utstedte kredittkortinformasjon ut av frykt for at systemene deres var infisert. Denne svindelen morte ganske raskt da den forsøkte å unngå deteksjon og fortsatte å tvinge folk til å tilby personlig informasjon. En annen scam var DNSChanger malware som rammet millioner av PC-systemer over hele verden, og som til slutt regisserte berørte systemer til ondsinnede nettsteder, og som MacDefender malware forsøkte å få folk til å tilby personlig informasjon.

Den nyeste malware for å slå OS X har vært Flashback-svindel, som i utgangspunktet startet som et falskt Flash Player installerprogram som var relativt enkelt å unngå. Imidlertid truet truslen raskt til en mer alvorlig trussel ved å utnytte upakket sikkerhetshull i Java (som Apple siden har adressert) for å installere på en Mac som kjører Java ved bare å besøke en ondsinnet webside og ikke kreve noen brukeroppmerksomhet. Hittil er det anslått å ha infisert over 600.000 Mac-systemer over hele verden, med flertallet i USA og Canada.

Hvordan virker det?

Flashback-malware spruter kode til applikasjoner (spesielt nettlesere) som vil bli kjørt når de kjører, og som deretter sender skjermbilder og annen personlig informasjon til eksterne servere.

Første trinn: Utnyttelse av Java

Når du støter på den ondsinnede nettsiden som inneholder skadelig programvare og har en upakket versjon av Java som kjører på systemet, vil den først utføre en liten Java-applet som når den kjører, vil ødelegge Java-sikkerheten og skrive et lite installasjonsprogram til brukerens konto. Programmet heter noe som .jupdate, .mkeeper, .flserv, .null eller .rserv, og perioden foran det gjør at den vises skjult i standard Finder-visning.

I tillegg vil Java-applet skrive en lanseringsfil med navnet "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" eller "null.plist" til den nåværende brukerens ~ / Bibliotek / LaunchAgents / mappe, som kontinuerlig starter .jupdate-programmet når brukeren er logget inn.

For å unngå deteksjon, vil installatøren først se etter tilstedeværelsen av noen antivirusverktøy og andre verktøy som kan være til stede på en strømbrukerens system, som ifølge F-Secure inkluderer følgende:

/ Bibliotek / Little Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Programmer / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Programmer / Pakke Peeper.app

Hvis disse verktøyene blir funnet, sletter malware seg selv i et forsøk på å hindre deteksjon av de som har midler og mulighet til å gjøre det. Mange malwareprogrammer bruker denne oppførselen, som det ble sett på andre, som tsunami-malware bot.

Andre trinn: Nedlasting av nyttelast

Når jupdateprogrammet kjøres, vil det koble til en ekstern server og laste ned et nyttelastprogram som er selve malware, og som består av to komponenter. Den første er hoveddelen av skadelig programvare som utfører opptak og opplasting av personlig informasjon, og den andre er en filterkomponent som brukes til å forhindre at malware kjører, med mindre bestemte programmer som nettlesere blir brukt.

Tredje trinn: Infeksjon

Når malware og filter er lastet ned, kjøres malware for å infisere systemet. Dette er hvor brukere vil se et varsel om en programvareoppdatering og vil bli bedt om å levere passordene sine. Dessverre på dette punktet er det ingenting å stoppe infeksjonen, og om et passord leveres eller ikke, endres infeksjonsmodusen eller ikke.

Roten av infeksjonsrutinen er basert på kapringkonfigurasjonsfiler i OS X som leses og utføres når programmene kjøres. En av disse kalles "Info.plist" i mappen "Innhold" i hver OS X-programpakke, og leses når det bestemte programmet er åpnet. Den andre heter "environment.plist" og ligger i brukerkontoen i en skjult mappe (~ / .MacOSX / environment.plist), som kan brukes til å starte parametere når noen programmer åpnes av brukeren.

Den første infeksjonsmodusen er hvis et passord leveres, i hvilket tilfelle malware endrer Info.plist-filene i Safari og Firefox for å kjøre malware når disse programmene åpnes. Dette er malwareens foretrukne infeksjonsmodus, men hvis et passord ikke er levert, skiller malware seg til sin andre infeksjonsmodus, der den endrer filen "environment.plist".

Ved å bruke environment.plist-filen, vil malware kjøres når et hvilket som helst program åpnes, og dette vil føre til krasjer og annen ulik oppførsel som kan føre til alarm til brukeren, slik at malware bruker sin filterkomponent til å bare kjøre når visse applikasjoner lanseres, for eksempel Safari, Firefox, Skype, og til og med Office installasjoner.

Uansett, når den lastes ned, vil malware infisere systemet ved hjelp av en av disse tilnærmingene, og vil kjøre når målrettede applikasjoner som nettlesere brukes. I nyere versjoner av malware, når den installeres ved hjelp av "environment.plist" -filen, vil den sjekke systemet videre for å sikre at komplette installasjoner av programmer som Office eller Skype er til stede, og potensielt sletter seg hvis disse programmene ikke er helt eller riktig installert. F-Secure spekulerer på at dette er et forsøk på å forhindre tidlig påvisning av skadelig programvare.

Hvordan oppdager jeg det?

Registrering av skadelig programvare er ganske enkelt, og krever at du bare åpner Terminal-applikasjonen i / Programmer / Verktøy / mappe og kjører følgende kommandoer:

standardinnstillinger les ~ / .MacOSX / miljø DYLD_INSERT_LIBRARIES

standardinnstillinger les /Applikasjoner/Safari.app/Contents/Info LSEnvironment

standardinnstillinger les /applikasjoner/Firefox.app/Contents/Info LSEnvironment

Disse kommandoene vil lese filen "Info.plist" for enkelte målprogrammer og "environment.plist" -filen i brukerkontoen, og avgjøre om variabelen som malwareprogrammet bruker for å starte seg selv (kalt "DYLD_INSERT_LIBRARIES"), er til stede. Hvis variabelen ikke er til stede, vil disse tre Terminal-kommandoene sende ut at standardparet "ikke eksisterer", men hvis de er til stede, vil disse kommandoene sende ut en bane som peker på malwarefilen, som du bør se i Terminal vindu.

I tillegg til de ovennevnte kommandoene, kan du sjekke at det finnes usynlige .so-filer som tidligere varianter av skadelig programvare opprettes i Delt brukerkatalog ved å kjøre følgende kommando i Terminal:

ls -la ~ /../ Delt /.*. så

Etter at du har kjørt denne kommandoen, hvis du ser en utgang fra «ingen slik fil eller katalog», har du ikke disse filene i den delte katalogen til brukeren din. men hvis de er til stede så vil du se dem oppført.

Hvordan fjerner jeg det?

Hvis du etter at du har kjørt de første tre detekteringskommandoene, finner ut at systemet inneholder de endrede filene, og du mistenker at den har skadelig programvare installert, kan du gå om å fjerne den ved hjelp av F-Secures manuelle fjerningsinstruksjoner. Disse instruksjonene er litt dyptgående, men hvis du følger dem nøyaktig, bør du kunne kvitte infeksjonssystemet:

  1. Åpne Terminal og kjør følgende kommandoer (det samme som ovenfor):

    standardinnstillinger les /Applikasjoner/Safari.app/Contents/Info LSEnvironment

    standardinnstillinger les /applikasjoner/Firefox.app/Contents/Info LSEnvironment

    standardinnstillinger les ~ / .MacOSX / miljø DYLD_INSERT_LIBRARIES

    Når disse kommandoene kjøres, gjør du notat om hele filbanen som sendes ut til terminalvinduet (det kan være paret med begrepet "DYLD_INSERT_LIBRARIES"). For hver av kommandoene som utfører en filbane (og ikke si at domeneparet ikke eksisterer), kopier hele filbaneseksjonen og kjør følgende kommando med filbanen i stedet for FILEPATH i kommandoen (kopi og lim inn denne kommandoen):

    grep -a -o '__ldpath __ [- ~] *' FILEPATH

  2. Finn filene nevnt i utgangen av kommandoene ovenfor, og slett dem. Hvis du ikke finner dem i Finder, deretter for hver første type "sudo rm" i terminalen etterfulgt av et enkelt mellomrom, og bruk musepekeren til å velge den fulle filbanen fra den første kommandoen, og bruk Command-C etterfulgt av Command-V for å kopiere og lime den inn i Terminal. Trykk deretter Enter for å utføre kommandoen og fjern denne filen.

    Se følgende skjermbilde for et eksempel på hvordan dette skal se ut:

  3. Når du har slettet alle filreferanser med "standard" -kommandoene ovenfor, har du fjernet malwarefilene, men du må fortsatt nullstille de endrede applikasjonene og kontofilene, slik at du kjører følgende kommandoer:

    sudo-standardene sletter /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

    sudo-standardene sletter /Applications/Firefox.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

    standardinnstillinger slette ~ / .MacOSX / miljø DYLD_INSERT_LIBRARIES

    launchctl unsetenv DYLD_INSERT_LIBRARIES

  4. I Finder, gå til Gå-menyen og velg Bibliotek (hold alternativtasten i Lion for å avsløre dette alternativet i menyen), og åpne deretter mappen LaunchAgents, der du skal se en fil som heter noe som "com.java.update Plist." Deretter skriver du inn følgende kommando i Terminal (Merk: endre navnet på "com.java.update" i kommandoen for å gjenspeile navnet på filen før .plist-suffikset, for eksempel "com.adobe.reader" hvis du ha den filen):

    standardinnstillinger lese ~ / Bibliotek / LaunchAgents / com.java.update ProgramArguments

    Når denne kommandoen er fullført, trykker du på Enter og merker filbanen som har blitt sendt til Terminal-vinduet.

    Som du gjorde tidligere, finn denne filen i Finder og slett den, men hvis du ikke kan gjøre det, skriv "sudo rm" etterfulgt av et enkelt mellomrom, og kopier og lim inn utdatafilen til kommandoen, og trykk på Enter.

  5. For å fjerne eventuelle skjulte .so-filer som ble funnet tidligere, kan du fjerne dem ved å kjøre følgende kommando i Terminal (sørg for å kopiere og lime inn denne kommandoen, da det ikke skal være noen mellomrom i den siste komponenten som inneholder symbolene og tegnsettingene ):

    sudo rm ~ /../ Shared /.*. så

    Etter at dette trinnet er fullført, fjern filen som heter "com.java.update.plist" (eller "com.adobe.reader.plist", og du bør være god til å gå.

OPPDATERT: 4/5/2012, 10:00 - Lagt til gjenkjenning og fjerning av skjulte .so-filer som brukes av tidligere varianter av skadelig programvare.

Populære Innlegg

Hvordan lage et egendefinert kontrollpanel med Windows GodMode

Slik går du tilbake til iOS 8 fra iOS 9 beta

Slik frigjør du plass på din Android-telefon eller nettbrett

Slik integrerer du Google-oppgaver med Chrome

Ignorer hendelsesinvitasjoner på Facebook

Bli kjent med Instagrams nye Fade og Color-verktøy

 

Legg Igjen Din Kommentar