Mac Flashback malware: Hva er det og hvordan bli kvitt det (FAQ)

Apples Mac-plattform har lenge blitt fremmet som sikrere enn konkurransen, men etter hvert som Mac-salg og markedsandel vokser, blir det et større mål.

Ingensteds er det klarere enn med Flashback Trojan, en gnarly del av malware utviklet for å stjele personlig informasjon ved masquerading som svært vanlige nettleser plugin-moduler. I går sa russisk antivirusfirma Dr. Web at en anslagsvis 600.000 Mac-brukere nå er smittet som følge av at brukerne uvitende installerte programvaren.

Så her er en rask FAQ på Flashback Trojan, inkludert informasjon om hva det er, hvordan du forteller om du har det, og trinnene du kan ta for å bli kvitt det.

Hva er Flashback?

Flashback er en form for skadelig programvare designet for å hente passord og annen informasjon fra brukere gjennom nettleseren og andre programmer som Skype. En bruker feiler det vanligvis for en legitim nettleser-plugin-modul mens du besøker et skadelig nettsted. På det tidspunktet installerer programvaren koden som er utformet for å samle personlig informasjon og sende den tilbake til eksterne servere. I sine nyeste inkarnasjoner kan programvaren installere seg uten brukerinteraksjon.

Når syntes det først?

Flashback som vi kjenner det, kom nå fram til slutten av september i fjor, og lå ut som et installasjonsprogram for Adobe Flash, en mye brukt plugin for streaming video og interaktive applikasjoner som Apple ikke lenger sender på sine datamaskiner. Malware utviklet seg for å målrette Java-kjøretiden på OS X, der brukere som besøker ondsinnede nettsteder vil bli bedt om å installere den på deres maskin for å vise webinnhold. Mer avanserte versjoner vil installere stille i bakgrunnen uten å trenge passord.

Hvordan infiserte det så mange datamaskiner?

Det enkle svaret er at programvaren var designet for å gjøre akkurat det. I sin første inkarnasjon så malware liknende til Adobe Flash installer. Det hjalp ikke at Apple ikke har sendt Flash på sine datamaskiner i godt over et år, uten å skape et basseng av brukere som er mer sannsynlig å kjøre installasjonsprogrammet for å se populære nettsteder som kjører på Flash. I sine nyere Java-relaterte varianter kan programvaren installere seg uten at brukeren må klikke på noe eller gi det et passord.

Det som ikke hjalp, er måten Apple har på Java. I stedet for å bare bruke Javas nåværende offentliggjøring, oppretter og opprettholder selskapet sine egne versjoner. Som det viser seg, tok malwareforfatterne ut et spesielt sikkerhetsproblem som Oracle patched i februar. Apple kom ikke rundt for å fikse sin egen Java-versjon til april.

Hva har Apple gjort om det?

Apple har sin egen malware skanner innebygd i OS X kalt XProtect. Siden Flashback lanseringen har sikkerhetsverktøyet blitt oppdatert to ganger for å identifisere og beskytte mot en håndfull Flashback-varianter.

En nyere versjon av malware, kom imidlertid rundt XProtect ved å utføre sine filer gjennom Java. Apple avsluttet malwareens hovedinngangspunkt med en Java-oppdatering 3. april, og har siden gitt ut et fjerningsverktøy som en del av en senere Java-oppdatering.

Merk: Java-sikkerhetsrettingene er bare tilgjengelige i Mac OS X 10.6.8 og nyere, så hvis du kjører OS X 10.5 eller tidligere, vil du fortsatt være sårbar. Apple har sluttet å levere programvareoppdateringer for disse operativsystemene.

Hvordan forteller jeg om jeg har det?

Akkurat nå er den enkleste måten å fortelle om datamaskinen har blitt infisert, å gå til sikkerhetsfirmaet F-Secure og laste ned Flashback-deteksjons- og fjerningsprogramvaren. Følg instruksjonene her om hvordan du får og bruker den. Sikkerhetsselskap Symantec tilbyr sitt eget, Norton-branded frittstående verktøy, som du kan komme hit.

Alternativt kan du kjøre en trio av kommandoer i Terminal, et program du finner i mappen Verktøy i mappen Programmer i Mac. Hvis du vil finne den uten å grave, bare gjør en Spotlight-søk etter "Terminal".

Når du er der, kopiere og lim inn hver av kodestrengen nedenfor i terminalvinduet. Kommandoen kjøres automatisk:

standardinnstillinger les /Applikasjoner/Safari.app/Contents/Info LSEnvironment

standardinnstillinger les /applikasjoner/Firefox.app/Contents/Info LSEnvironment

standardinnstillinger les ~ / .MacOSX / miljø DYLD_INSERT_LIBRARIES

Hvis systemet ditt er rent, vil kommandoene fortelle deg at disse domenet / standardparene "ikke eksisterer." Hvis du er infisert, vil den spytte opp lappen for hvor malware har installert seg på systemet ditt.

Uh, jeg har det. Hvordan fjerner jeg det?

Ved hjelp av et av de ovennevnte verktøyene fra F-Secure eller Norton, vil du automatisk kvitte seg med skadelig programvare fra datamaskinen uten ytterligere trinn. Hvis du, av en eller annen grunn, er forsiktig med å bruke et av disse tredjepartsverktøyene, gir CNETs Topher Kessler en trinnvis veiledning om hvordan du fjerner Flashback fra din Mac. Denne prosessen krever også å hoppe inn i Terminal og kjøre disse kommandoene, deretter spore ned hvor de infiserte filene er lagret, og deretter slette dem manuelt.

For godt mål er det også en god ide å endre dine online passord hos finansinstitusjoner og andre sikre tjenester som du kanskje har brukt mens datamaskinen ble kompromittert. Det er uklart om disse dataene ble målrettet, logget og sendt som en del av angrepet, men det er en smart forebyggende atferd som er verdt å gjøre regelmessig.

Relaterte historier

  • Apples Flashback malware remover lever nå
  • Flashback den største Mac-malware trusselen ennå, sier eksperter
  • Mer enn 600.000 Macs smittet med Flashback botnet
  • Java-oppdatering for OS X-patcher Flashback-skadelig programvareutnyttelse
  • ZDNet: Ny Mac-malwareepidemi utnytter svakheter i Apples økosystem

Så nå er rettelser her, er jeg trygg?

I et ord, nei. Flashback-forfatterne har allerede vist seg tilbøyelig til å fortsette å endre malware for å oppsøke nye sikkerhetsrettelser.

CNETs råd er først og fremst å laste ned programvare bare fra klarerte kilder. Det inkluderer nettstedene til kjente og pålitelige programvareleverandører, samt sikrede arkiver som CNET's Download.com. Også, som en annen tommelfingerregel, er det en god ide å holde tredjepartstilførsler så oppdaterte som mulig for å være oppdatert med eventuelle sikkerhetsoppdateringer. Hvis du ønsker å bli enda sikrere, hold deg borte fra Java og andre systemtillägg, med mindre de trengs av et pålitelig program eller en webtjeneste.

CNET blogger Topher Kessler og CNET seniorredaktør Seth Rosenblatt bidro til denne rapporten.

Oppdatert kl 1:40 PM PT den 5. april med oppdaterte fjerningsinstruksjoner. Oppdatert 6. april kl 7:44 PT med info om en ny oppdatering fra Apple, og kl. 1:55 PT med informasjon om Dr. Webs nettbaserte deteksjonsverktøy. Oppdatert 9. april kl 12:30 PT med uavhengig bekreftelse på at Dr. Webs skjema er trygt for folk å bruke. Oppdatert igjen klokken 16.00 PT den 12. april for å notere utgivelsen og detaljer om Apples eget fjerningsverktøy.

Populære Innlegg

Hvordan bli trygg på nettet: CNETs sikkerhets sjekkliste

Apple forenkler feilsøking med Express Lane

5 ting å vite om MacBook Pros Thunderbolt 3 (USB-C) porter

Rist iOS-enheten din for å angre handlinger i Mail

Få gratis bilder til ditt nettsted

Hvordan sende en filforespørsel ved hjelp av Dropbox

 

Legg Igjen Din Kommentar