Hogyan lehet eltávolítani a Flashback malware-t OS X-től

Míg az OS X az első 10 év során viszonylag érvénytelen volt a rosszindulatú programokkal szemben, a közelmúltban a rosszindulatú szoftverek megrongálódtak, ami jelentős számú Mac rendszert érint.

Az egyik első az volt, hogy a MacDefender hamis antivírus-csalás volt, melynek során az emberek hitelkártya-adatokat bocsátottak ki attól, hogy a rendszerük fertőzött. Ez az átverés meglehetősen gyorsan zajlott, mivel megpróbálta elkerülni a felderítést, és továbbra is kényszeríti az embereket arra, hogy személyes információkat nyújtsanak. Egy másik csalás volt a DNSChanger malware, amely világszerte több millió számítógépes rendszert érint, és amely végül az érintett rendszereket rosszindulatú webhelyekre irányította, és mint a MacDefender kártevője, megpróbálta az embereket személyes adatok megszerzésére.

Az OS X-hez legutóbb elkövetett rosszindulatú szoftver a Flashback átverés volt, amely kezdetben hamis Flash-lejátszó telepítő alkalmazásként kezdődött, amelyet viszonylag könnyű elkerülni. A fenyegetés azonban komolyabb fenyegetéssé vált, ha kihasználta a Java (az Apple által azóta elkezdett) megszakítatlan biztonsági lyukakat, hogy telepítsenek egy Java-ra futó Mac-re, csak egy rosszindulatú weblap látogatásával, és nem igényelnek felhasználói figyelmet. Eddig becslések szerint világszerte több mint 600 000 Mac-rendszert fertőztek meg, többségük az Egyesült Államokban és Kanadában.

Hogyan működik?

A Flashback kártékony programokat olyan alkalmazásokba (különösen webböngészőkbe) injektál, amelyek futtatásakor végrehajtásra kerülnek, és amelyek a képernyőképeket és egyéb személyes adatokat távoli szerverekhez küldik.

Első lépés: Java használata

Amikor a rosszindulatú weboldalt tartalmazó rosszindulatú weboldalt találja meg, és a rendszeren fut a Java futatlan verziója, először egy kis Java-appletet hajt végre, amely a futás során megszakítja a Java biztonságot, és egy kis telepítőprogramot ír a felhasználó fiókjába. A program neve .jupdate, .mkeeper, .flserv, .null vagy .rserv, és az előtte lévő időszak elrejti az alapértelmezett Finder nézetben.

Emellett a Java kisalkalmazás egy "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" vagy akár "null.plist" nevű indítófájlt fog írni. az aktuális felhasználó ~ / Library / LaunchAgents / mappájába, amely folyamatosan elindítja a .jupdate programot, amikor a felhasználó be van jelentkezve.

Az észlelés elkerülése érdekében a telepítő először megkeresi a vírusirtó eszközök és egyéb segédprogramok jelenlétét, amelyek az energiafelhasználó rendszerén lehetnek jelen, amelyek az F-Secure szerint a következők:

/ Könyvtár / Little Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Alkalmazások / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Alkalmazások / Csomag Peeper.app

Ha ezek az eszközök megtalálhatók, akkor a rosszindulatú program törli magát, hogy megpróbálja megakadályozni a felderítés azon képességét, akik rendelkeznek az eszközökkel és képességekkel. Számos rosszindulatú program használja ezt a viselkedést, ahogyan azt másokban is látták, mint például a cunami-bot.

Második lépés: A hasznos terhelés letöltése

Amikor a jupdate program fut, egy távoli szerverhez csatlakozik, és letölt egy olyan hasznos programot, amely maga a malware, és amely két összetevőből áll. Az első a rosszindulatú programok fő része, amely személyes adatokat rögzít és feltölt, és a második olyan szűrőösszetevő, amely megakadályozza a rosszindulatú programok futtatását, kivéve, ha speciális programokat, például webböngészőket használnak.

Harmadik lépés: fertőzés

Miután a kártevő és a szűrő letölthető, a rosszindulatú program fut a rendszer megfertőzéséhez. Ez az, ahol a felhasználók riasztást fognak látni a szoftverfrissítésről, és felkéri a jelszavakat. Sajnos ezen a ponton semmi sem akadályozza meg a fertőzést, és hogy a jelszó be van-e állítva, csak megváltoztatja a fertőzés módját.

A fertőzés rutinja a konfigurációs fájlok OS X-ben történő eltérítésén alapul, amelyeket a programok futtatásakor olvasnak és hajtanak végre. Ezek közül az egyik az "Info.plist" nevű név, amely az OS X alkalmazáscsomagban található "Tartalom" mappában található, és az adott program megnyitásakor olvassa el. A második neve "environment.plist", és a felhasználói fiókban található egy rejtett mappában (~ / .MacOSX / environment.plist), amely paraméterek indítására használható, amikor a felhasználó megnyitja a programokat.

A fertőzés első módja, ha jelszót adunk meg, amely esetben a kártevő megváltoztatja a Safari és a Firefox Info.plist fájljait, hogy futtassa a malware-t, amikor ezek a programok megnyílnak. Ez a rosszindulatú program előnyben részesített fertőzési módja, de ha nincs jelszó, akkor a rosszindulatú program a második fertőzési módjához kapcsolódik, ahol megváltoztatja a "environment.plist" fájlt.

A environment.plist fájl használatával a rosszindulatú programok minden alkalmazás megnyitásakor fognak futni, és ez összeomláshoz és egyéb furcsa viselkedéshez vezethet, ami riasztást okozhat a felhasználónak, így a rosszindulatú program a szűrő összetevőjét csak akkor használja, ha bizonyos alkalmazások a Safari, a Firefox, a Skype és az Office-telepítések is elindultak.

Akárhogy is, a letöltés után a rosszindulatú szoftver megfertőzi a rendszert ezen megközelítések egyikével, és akkor fog futni, amikor a célalkalmazások, például a webböngészők használják. A rosszindulatú programok újabb változataiban, amikor a "environment.plist" fájl segítségével telepítik, a rendszer tovább ellenőrzi a rendszert, hogy biztosítsa a programok, például az Office vagy a Skype teljes telepítését, és esetleg törölje magát, ha ezek a programok nem teljesen vagy megfelelően vannak telepítve. Az F-Secure spekulál, hogy ez megpróbálja megakadályozni a rosszindulatú programok korai felismerését.

Hogyan észlelhetem azt?

A rosszindulatú programok felderítése meglehetősen egyszerű, és egyszerűen meg kell nyitnia a Terminál alkalmazást a / Applications / Utilities / mappában, és futtatnia kell a következő parancsokat:

alapértelmezett értékek: ~ / .MacOSX / környezet DYLD_INSERT_LIBRARIES

alapértelmezett értékek olvashatók /Applications/Safari.app/Contents/Info LSE környezet

alapértelmezett értékek olvashatók /Applications/Firefox.app/Contents/Info LSE környezet

Ezek a parancsok az egyes célalkalmazások "Info.plist" fájlját és a felhasználói fiókban lévő "environment.plist" fájlt olvassák el, és meghatározzák, hogy a kártékony program által elindított változó (az úgynevezett "DYLD_INSERT_LIBRARIES") jelen van-e. Ha a változó nincs jelen, akkor ezek a három Terminálparancs kinyomtatja, hogy az alapértelmezett pár "nem létezik", de ha jelen vannak, akkor ezek a parancsok olyan útvonalat adnak ki, amely a kártevőfájlra mutat, amelyet a Terminálban kell látnia. ablak.

A fenti parancsok mellett megnézheti a láthatatlan .so fájlok jelenlétét, amelyek a megosztott felhasználói könyvtárban a rosszindulatú programok létrehozott változatainak korábbi változatai közül a következő parancsot futtatják:

ls -la ~ /../ megosztott /.*

A parancs futtatása után, ha a "nincs ilyen fájl vagy könyvtár" kimenete látható, akkor nincsenek ezek a fájlok a felhasználói megosztott könyvtárban; de ha jelen vannak, akkor látni fogja őket.

Hogyan távolíthatom el?

Ha az első három észlelési parancs futtatása után úgy találja, hogy a rendszer tartalmazza a módosított fájlokat, és azt gyanítja, hogy telepítette a rosszindulatú szoftvert, akkor az F-Secure kézi eltávolítási utasításai segítségével távolíthatja el. Ezek az utasítások egy kicsit mélyebbek, de ha pontosan követi őket, akkor képesnek kell lennie arra, hogy megszabaduljon a fertőzés rendszerétől:

  1. Nyissa meg a terminált, és futtassa a következő parancsokat (ugyanaz, mint fent):

    alapértelmezett értékek olvashatók /Applications/Safari.app/Contents/Info LSE környezet

    alapértelmezett értékek olvashatók /Applications/Firefox.app/Contents/Info LSE környezet

    alapértelmezett értékek: ~ / .MacOSX / környezet DYLD_INSERT_LIBRARIES

    Amikor ezeket a parancsokat futtatja, jegyezze fel a teljes fájlútvonalat, amely a terminálablakba kerül (ez párosítható a "DYLD_INSERT_LIBRARIES" kifejezéssel). A fájlútvonalat kiadó parancsok (és nem azt mondják, hogy a domainpár nem létezik) minden példányban másolja át a teljes fájl elérési útvonalait és a következő parancsot a FILEPATH helyett a fájlban lévő útvonallal (másolja és illessze be) ezt a parancsot):

    grep -a -o '__ldpath __ [- ~] *' FILEPATH

  2. Keresse meg a fenti parancsok kimenetében említett fájlokat, és törölje azokat. Ha nem találja meg őket a Finderben, akkor minden egyes első típusú "sudo rm" a terminálon, amelyet egy szóköz követ, majd az egérmutatóval válassza ki a teljes fájlútvonalat az első parancs kimenetéből, és használja a Command-C parancsot. ezt követően a Command-V, majd másolja és illessze vissza a terminálba. Ezután nyomja meg az Enter billentyűt a parancs végrehajtásához és a fájl eltávolításához.

    Az alábbi képernyőt lásd a következő példában:

  3. Ha törölte az összes fájl hivatkozást a fenti "alapértelmezett" parancsokkal, akkor eltávolította a rosszindulatú fájlokat, de még mindig vissza kell állítania a módosított alkalmazásokat és fiókfájlokat, így a következő parancsokat kell futtatnia:

    sudo defaults delete /Applications/Safari.app/Contents/Info LSE környezet

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

    sudo defaults delete /Applications/Firefox.app/Contents/Info LSE környezet

    sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

    alapértelmezett törlés ~ / .MacOSX / környezet DYLD_INSERT_LIBRARIES

    startctl unsetenv DYLD_INSERT_LIBRARIES

  4. A keresőben keresse meg a Go menüt, és válassza a Library (Könyvtár) lehetőséget (tartsa lenyomva az Opció gombot Lionban, hogy felfedje ezt a lehetőséget a menüben), majd nyissa meg a LaunchAgents mappát, ahol egy olyan nevű fájlt kell látnia, mint a "com.java.update .plist.” Ezután írja be a következő parancsot a terminálba (Megjegyzés: módosítsa a "com.java.update" nevet a parancsban, hogy tükrözze a fájl nevét a .plist utótagja előtt, például "com.adobe.reader", ha ezt a fájlt):

    alapértelmezett értékek: ~ / Library / LaunchAgents / com.java.update ProgramArguments

    Amikor ez a parancs befejeződött, nyomja meg az Enter billentyűt, és jegyezze fel a terminálablakba kiadott fájlútvonalat.

    Ahogy korábban tettük, keressük meg ezt a fájlt a Finderben, és töröljük, de ha ezt nem tudod megtenni, írd be a "sudo rm" parancsot, majd egy szóközt, majd másold át és illessze be a kimeneti fájl elérési útját a parancsba, és nyomja meg az Enter billentyűt.

  5. A korábban talált rejtett .so fájlok eltávolításához távolítsa el őket a következő parancs futtatásával a terminálon (győződjön meg róla, hogy ezt a parancsot másolja és beilleszti, mivel az utolsó összetevőnek nincsenek szóközt tartalmazó szimbólumai és írásjelei) ):

    sudo rm ~ /../ megosztott /.*

    Miután ez a lépés befejeződött, távolítsa el a "com.java.update.plist" nevű fájlt (vagy "com.adobe.reader.plist"), és jónak kell lennie.

Frissítve: 2012.05.04., 10:00 - A kártevő korábbi változatai által használt rejtett .so fájlok észlelési és eltávolítási utasításai.

Népszerű Bejegyzések

6 dolog, amit a SodaStream-szel karbonátolhat

A Google történetének törlése

Öt tipp a Google Glass újszülött számára

Hogyan lehet elindítani a Turntable.fm-et iPhone-ra

27 tipp az új Apple TV-hez

Itt van egy titok, hogy új telefont adjunk ajándéknak

 

Hagyjuk Meg Véleményét