Kuidas eemaldada OSX-i Flashback-pahavara

Kuigi OS X oli esimese kümne aasta jooksul pahavara suhteliselt tühine, on hiljuti pahavara hirmutanud, mis on mõjutanud märkimisväärset hulka Maci süsteeme.

Üks esimesi oli MacDefenderi võltsitud viirusetõrje, mis andis inimestele krediitkaardiandmete väljastamise hirmust, et nende süsteemid olid nakatunud. See pettus morfeerus üsna kiiresti, kuna ta püüdis vältida avastamist ja jätkata inimeste isikliku teabe pakkumist. Teine pettus oli DNSChangeri pahavara, mis mõjutas miljoneid arvutisüsteeme kogu maailmas ja mis lõpuks suunas mõjutatud süsteemid pahatahtlikele veebisaitidele ja nagu MacDefenderi pahavara üritas inimestel isiklikke andmeid pakkuda.

Viimane õelvara, mis tabas OS X-i, on olnud Flashback-pettus, mis algselt algas võltsitud Flash-mängija installerina, mida oli suhteliselt lihtne vältida. Kuid oht kiiresti morphed tõsine oht, kasutades ära unpatched turvalisuse augud Java (mida Apple on alates adresseeritud) installida Mac töötab Mac, lihtsalt külastades pahatahtliku veebilehe ja ei nõua kasutaja tähelepanu. Seni on hinnanguliselt nakatunud üle 600 000 Mac-süsteemi kogu maailmas, enamus USA-s ja Kanadas.

Kuidas see töötab?

Flashback-pahavara süstib koodi rakendustesse (eriti veebibrauseritesse), mis käivitatakse nende käivitamisel ja mis seejärel saadavad ekraanipilte ja muud isiklikku teavet serveri serverisse.

Esimene samm: Java kasutamine

Kui teil tekib pahavara sisaldav pahatahtlik veebileht ja teil on teie süsteemis käivitamata Java-versioon, käivitab see kõigepealt väikese Java-appleti, mis käivitamisel katkestab Java-turvalisuse ja kirjutab väikese paigaldajaprogrammi kasutaja kontole. Programmi nimi on .jupdate, .mkeeper, .flserv, .null või .rserv ning selle ees olev ajavahemik muudab selle vaikimisi Finderi vaates peidetud.

Lisaks kirjutab Java-aplett käivitusfaili nimega "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" või isegi "null.plist" praeguse kasutaja ~ / Library / LaunchAgents / kausta juurde, mis käivitab pidevalt .jupdate programmi, kui kasutaja on sisse logitud.

Tuvastamise vältimiseks otsib paigaldaja kõigepealt mõningaid viirusetõrje vahendeid ja muid utiliite, mis võivad olla kasutaja kasutaja süsteemis, mis F-Secure'i sõnul sisaldab järgmist:

/ Raamatukogu / Little Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Rakendused / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Rakendused / Pakett Peeper.app

Kui need tööriistad leitakse, kustutab pahavara ennast, püüdes vältida nende tuvastamist, kellel on selleks vahendid ja võimed. Paljud pahavara programmid kasutavad seda käitumist, nagu seda näitasid teised, näiteks tsunami pahavara bot.

Teine etapp: kasuliku koormuse allalaadimine

Kui jupdate programm käivitub, ühendub see kaugserveriga ja laadib kasulikke programme, mis on pahavara ise ja mis koosneb kahest komponendist. Esimene neist on pahavara peamine osa, mis teeb isikuandmete püüdmise ja üleslaadimise ning teine ​​on filtrikomponent, mida kasutatakse pahavara vältimiseks, välja arvatud juhul, kui kasutatakse konkreetseid programme, nagu veebibrauserid.

Kolmas samm: nakkus

Kui pahavara ja filter on alla laaditud, käivitatakse pahavara süsteemiga nakatumiseks. See on koht, kus kasutajad näevad tarkvarauuenduse kohta hoiatust ja teid palutakse esitada oma paroolid. Kahjuks ei ole praegu mingit infektsiooni peatamist ning kas parooli edastamine muudab ainult nakkuse viisi.

Infektsiooni rutiini juured põhinevad konfigureerimisfailide kaaperdamisel OS X-s, mida loetakse ja täidetakse programmide käivitamisel. Üks neist on nimega "Info.plist", mis asub iga OS X rakenduste paketi kaustas "Sisu" ja seda loetakse alati, kui see eriprogramm avatakse. Teist nimetatakse "environment.plist" ja see asub kasutajakontol peidetud kaustas (~ / .MacOSX / environment.plist), mida saab kasutada parameetrite käivitamiseks, kui kasutaja avab programme.

Esimene nakkusviis on parooli edastamine, millisel juhul pahavara muudab programmi Safari ja Firefoxi faile Info.plist, et käivitada pahavara, kui need programmid avatakse. See on pahavara eelistatav nakkusrežiim, kuid kui parooli ei esitata, liigub pahavara teise infektsiooni režiimi, kus see muudab "environment.plist" faili.

Kasutades file.plist faili, käivitatakse pahavara iga rakenduse avamisel ja see toob kaasa krahhid ja muu veider käitumise, mis võib põhjustada kasutajale häireid, seega kasutab pahavara oma filtri komponenti ainult teatud rakenduste käivitamiseks käivitatakse näiteks Safari, Firefox, Skype ja isegi Office'i installatsioonid.

Mõlemal juhul nakatab pahavara allalaaditud süsteem süsteemi, kasutades ühte neist meetoditest, ja töötab alati, kui kasutatakse sihtrakendusi, näiteks veebibrausereid. Hiljutiste pahavara variantide puhul, kui fail on installitud "environment.plist" failiga, kontrollib see süsteemi veelgi, et tagada selliste programmide nagu Office või Skype täielik installimine ja potentsiaalselt kustutada, kui need programmid ei ole täielikult või korralikult installitud. F-Secure spekuleerib, et see on katse ennetada pahavara varajast avastamist.

Kuidas seda avastada?

Pahavara avastamine on üsna lihtne ja nõuab, et lihtsalt avataks terminalirakendus rakenduses / Applications / Utilities / kaustas ja käivitage järgmised käsud:

vaikeväärtused loevad ~ / .MacOSX / keskkond DYLD_INSERT_LIBRARIES

vaikeseaded loevad /Applications/Safari.app/Contents/Info LSEnvironment

vaikeseaded loevad /Applications/Firefox.app/Contents/Info LSE-keskkonda

Need käsud loevad mõnede sihtrakenduste "Info.plist" faili ja kasutajakontol oleva "environment.plist" faili ning määravad, kas pahavara poolt enda käivitamiseks kasutatav muutuja ("DYLD_INSERT_LIBRARIES") on olemas. Kui muutuja ei ole olemas, väljastatakse need kolm terminali käsku, et vaikimisi paari "ei eksisteeri", kuid kui need on olemas, väljastavad need käsud tee, mis viitab pahavara failile, mida peaksite nägema terminalis aken.

Lisaks ülaltoodud käskudele saate vaadata nähtamatute .so-failide olemasolu, mis on jagatud kasutajakataloogis pahavara loomise varasemate variantide juures, käivitades terminalis järgmise käsu:

ls -la ~ /../ Shared /.*. nii

Pärast selle käsu käivitamist, kui näete "sellist faili või kataloogi" väljundit, siis pole teil neid faile oma kasutaja jagatud kataloogis; aga kui nad on kohal, siis näed neid nende nimekirjas.

Kuidas seda eemaldada?

Kui pärast esimeste kolme avastamiskäskluse käivitamist leiate, et teie süsteem sisaldab muudetud faile ja kahtlustate, et teie arvutisse on installitud pahavara, võite selle eemaldada F-Secure'i käsitsi eemaldamise juhistega. Need juhised on veidi põhjalikumad, kuid kui te neid täpselt järgite, siis peaksite olema võimeline infektsiooni süsteemist vabanema:

  1. Avage terminal ja käivitage järgmised käsud (sama nagu eespool):

    vaikeseaded loevad /Applications/Safari.app/Contents/Info LSEnvironment

    vaikeseaded loevad /Applications/Firefox.app/Contents/Info LSE-keskkonda

    vaikeväärtused loevad ~ / .MacOSX / keskkond DYLD_INSERT_LIBRARIES

    Kui need käsud on käivitatud, märkige ära kogu failitee, mis väljub terminaliaknasse (see võib olla seotud terminiga "DYLD_INSERT_LIBRARIES"). Iga käskude puhul, mis väljastavad failirada (ja ei ütle, et domeeni paari ei ole), kopeerige käskluses kogu failiraja osa ja käivitage järgmine käsk failisuunaga FILEPATH (kopeerige ja kleepige) see käsk):

    grep -a -o '__ldpath __ [- ~] *' FILEPATH

  2. Leidke ülaltoodud käskude väljundis mainitud failid ja kustutage need. Kui te ei leia neid Finderis, siis iga esimese tüübi "sudo rm" kohta, millele järgneb üks tühik, ja seejärel kasutage hiirekursorit, et valida esimese käsu väljundist täielik failirada ja kasutage käsku C sellele järgneb V-käsk, et kopeerida ja kleepida see terminalisse. Seejärel vajutage käsu käivitamiseks ja selle faili eemaldamiseks Enter.

    Vaadake järgmist kuvatõmmist, et näha, kuidas see peaks nägema:

  3. Kui olete kustutanud kõik failide viited ülaltoodud "vaikeväärtuste" käskude abil, siis olete eemaldanud pahavara failid, kuid peate ikka muutma muudetud rakendused ja konto failid, nii et selleks käivitage järgmised käsud:

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEkeskkond

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

    sudo defaults delete /Applications/Firefox.app/Contents/Info LSEkeskkond

    sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

    vaikeväärtused kustutavad ~ / .MacOSX / keskkond DYLD_INSERT_LIBRARIES

    käivita unsetenv DYLD_INSERT_LIBRARIES

  4. Leidke Finderis menüü Go (Mine) ja valige Library (Raamatukogu) (hoidke valikuvõimalust Lionis, et seda valikut menüüs avada) ja avage seejärel kaust LaunchAgents, kus peaksite nägema faili nimega "com.java.update .plist. " Seejärel sisestage terminalisse järgmine käsk (Märkus: muutke käsku "com.java.update" nimi, et kajastada faili nime enne selle .plisti sufiksi, näiteks "com.adobe.reader", kui te sellel failil):

    vaikeseaded loevad ~ / Library / LaunchAgents / com.java.update ProgramArguments

    Kui see käsk on lõpule viidud, vajutage Enter ja märkige terminali aknasse väljastatud faili tee.

    Nagu te varem tegite, leidke see fail Finderisse ja kustutage see, aga kui te ei saa seda teha, tippige "sudo rm" ja seejärel üks tühik ning seejärel kopeerige ja kleepige väljundfaili tee käsku ja vajutage Enter.

  5. Varem leitud peidetud .so-failide eemaldamiseks saate need eemaldada, käivitades terminalis järgmise käsu (kopeerige ja kleepige see käsk kindlasti kindlasti, sest viimases komponendis ei tohi olla tühikuid, mis sisaldavad sümboleid ja kirjavahemärke) ):

    sudo rm ~ /../ Jagatud /.*

    Kui see samm on lõpetatud, eemaldage fail nimega "com.java.update.plist" (või "com.adobe.reader.plist" ja sa peaksid olema hea minna.

Uuendatud: 4/5/2012, 10:00 - Lisatud on varjatud .so failide avastamis- ja eemaldamisjuhised, mida kasutavad pahavara varasemad variandid.


 

Jäta Oma Kommentaar