Ako odstrániť škodlivý softvér Flashback zo systému OS X

Zatiaľ čo OS X bolo po prvých 10 rokoch používania relatívne neplatné, nedávno sa vyskytli hrozby malware, ktoré postihli významný počet systémov Mac.

Jedným z prvých bol MacDefender falošný antivírusový podvod, pri ktorom ľudia vydávali informácie o kreditných kartách zo strachu, že ich systémy boli infikované. Tento podvod sa premenil pomerne rýchlo, pretože sa snažil vyhnúť sa odhaľovaniu a pokračoval donútiť ľudí, aby poskytovali osobné informácie. Ďalším podvodom bol malware DNSChanger, ktorý postihol milióny PC systémov na celom svete a ktorý nakoniec nasmeroval postihnuté systémy na škodlivé webové lokality a ako malware MacDefender sa snažil prinútiť ľudí ponúknuť osobné informácie.

Najnovším škodlivým softvérom, ktorý zasiahla OS X, bol podvod Flashback, ktorý sa spočiatku začal ako falošná aplikácia na inštaláciu prehrávača Flash Player, ktorej sa pomerne ľahko vyhnúť. Avšak hrozba sa rýchlo premenila na vážnejšiu hrozbu tým, že využila neopracované bezpečnostné diery v jazyku Java (ktoré odvtedy riešila spoločnosť Apple) na inštaláciu na Mac, ktorý beží na Java, a to len navštívením škodlivého webu a nevyžadujúc pozornosť používateľa. Zatiaľ sa odhaduje, že infikovalo viac ako 600 000 systémov Mac na celom svete, s väčšinou v USA a Kanade.

Ako to funguje?

Softvér Flashback zavádza kód do aplikácií (konkrétne webových prehliadačov), ktoré sa spúšťajú po spustení, a ktoré následne posielajú obrazovky a iné osobné informácie na vzdialené servery.

Prvý krok: Využívanie Java

Keď narazíte na škodlivú webovú stránku obsahujúcu škodlivý softvér a máte vo svojom systéme nespracovanú verziu Java, najprv vykoná malý applet Java, ktorý pri spustení poruší zabezpečenie Java a zapíše malý inštalačný program na účet používateľa. Program je pomenovaný ako .jupdate, .mkeeper, .flserv, .null alebo .rserv a obdobie pred ním sa zdá byť skryté v predvolenom zobrazení Finder.

Okrem toho bude applet Java napísať súbor spúšťača s názvom "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" alebo dokonca "null.plist" do priečinka ~ / Library / LaunchAgents / aktuálneho používateľa, ktorý bude neustále spúšťať program .jupdate pri každom prihlásení používateľa.

Aby ste sa vyhli detekcii, inštalátor najprv skontroluje prítomnosť niektorých antivírových nástrojov a iných nástrojov, ktoré by mohli byť prítomné v systéme používateľa, ktorý podľa F-Secure obsahuje nasledovné:

/ Library / Little Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Aplikácie / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Aplikácie / Packet Peeper.app

Ak sú tieto nástroje nájdené, škodlivý softvér sa vymaže s cieľom zabrániť detekcii tých, ktorí majú prostriedky a schopnosti. Mnoho škodlivých programov používa toto správanie, ako to bolo vidieť aj v iných, ako je napríklad malware tsunami.

Druhý krok: Stiahnutie užitočného zaťaženia

Po spustení programu jupdate sa pripája na vzdialený server a načíta program na ukladanie dát, ktorý je samotný malware a ktorý pozostáva z dvoch komponentov. Prvým je hlavná časť škodlivého softvéru, ktorý vykonáva zachytenie a odovzdávanie osobných informácií a druhá je filtračná súčasť, ktorá sa používa na zabránenie spusteniu malware, pokiaľ sa nepoužívajú špecifické programy, ako sú webové prehliadače.

Tretí krok: infekcia

Akonáhle sa malware a filter stiahli, malware sa spustil na infikovanie systému. Tu sa používateľovi zobrazí upozornenie na aktualizáciu softvéru a zobrazí sa výzva na zadanie hesla. Bohužiaľ v tomto okamihu nie je nič, čo by zastavilo infekciu, a či je alebo nie je dodané heslo, iba zmení spôsob infekcie.

Koreň rutiny infekcie je založený na únosoch konfiguračných súborov v OS X, ktoré sa čítajú a spúšťajú pri spustení programov. Jeden z nich sa nazýva "Info.plist" umiestnený v priečinku "Obsah" v každom aplikačnom balíku OS X a číta sa vždy, keď sa otvorí daný program. Druhá sa nazýva "environment.plist" a nachádza sa v rámci používateľského konta v skrytej zložke (~ / .MacOSX / environment.plist), ktorá sa môže použiť na spustenie parametrov pri každom otvorení ľubovoľného programu.

Prvý spôsob infikovania je v prípade, že sa dodá heslo, v takom prípade škodlivý softvér zmení súbory Info.plist v Safari a Firefox, aby spustil škodlivý softvér vždy, keď sa tieto programy otvoria. Toto je preferovaný spôsob infikovania škodlivého softvéru, ale ak heslo nie je dodané, potom sa malware dostane do druhého režimu infekcie, kde zmení súbor "environment.plist".

Použitím súboru environment.plist sa škodlivý softvér spustí vždy, keď sa otvorí nejaká aplikácia, a to povedie k zhadzovaniu a inému nepárnemu správaniu, ktoré by mohlo používateľovi spôsobiť poplach, takže škodlivý softvér potom používa komponentu filtra, aby sa spustil len vtedy, keď niektoré aplikácie sú spustené, ako napríklad Safari, Firefox, Skype a dokonca aj inštalácie Office.

V obidvoch prípadoch, po stiahnutí, malware infikuje systém pomocou jedného z týchto prístupov a bude bežať vždy, keď sa použijú cieľové aplikácie ako webové prehliadače. V najnovších variantoch škodlivého softvéru, keď sa nainštaluje pomocou súboru "environment.plist", bude systém ďalej skontrolovať, aby sa zabezpečilo, že sú k dispozícii kompletné inštalácie programov, ako je Office alebo Skype, a potenciálne sa odstráni, ak tieto programy nie sú plne alebo správne nainštalovaný. F-Secure špekuluje, že ide o pokus zabrániť včasnej detekcii škodlivého softvéru.

Ako ju môžem zistiť?

Zisťovanie škodlivého softvéru je pomerne jednoduché a vyžaduje, aby ste jednoducho otvorili aplikáciu Terminal v priečinku / Applications / Utilities / / Applications a spustili nasledujúce príkazy:

predvolené prečítať ~ / .MacOSX / prostredie DYLD_INSERT_LIBRARIES

predvolené čítanie /Applications/Safari.app/Contents/Info LSEnvironment

predvolené čítanie /Applications/Firefox.app/Contents/Info LSEnvironment

Tieto príkazy si prečítajú súbor "Info.plist" niektorých cieľových aplikácií a súbor "environment.plist" v používateľskom účte a určia, či je prítomná premenná, ktorú používa malware na spustenie (nazývaný "DYLD_INSERT_LIBRARIES"). Ak premenná nie je prítomná, potom tieto tri príkazy terminálu vyvedú, že predvolený pár "neexistuje", ale ak sú prítomné, potom tieto príkazy vyvedú cestu, ktorá ukazuje na malwarový súbor, ktorý by ste mali vidieť na termináli okno.

Okrem uvedených príkazov môžete skontrolovať prítomnosť neviditeľných súborov .so, ktoré vytvorili v minulosti varianty škodlivého softvéru v adresári Zdieľaný používateľ, spustením nasledujúceho príkazu v termináli:

ls -la ~ /../ zdieľané /.*

Po spustení tohto príkazu, ak vidíte výstup "žiadny takýto súbor alebo adresár", potom nemáte tieto súbory v užívateľskom zdieľanom adresári; ak sú prítomní, potom uvidíte, že sú uvedené.

Ako ju odstránim?

Ak po spustení prvých troch detekčných príkazov zistíte, že váš systém obsahuje upravené súbory a máte podozrenie, že je nainštalovaný malware, môžete ho odstrániť pomocou pokynov na ručné odstránenie F-Secure. Tieto pokyny sú trochu hlbšie, ale ak ich presne dodržiavate, mali by ste byť schopní zbaviť systém infekcie:

  1. Otvorte terminál a spustite nasledujúce príkazy (rovnaké ako vyššie):

    predvolené čítanie /Applications/Safari.app/Contents/Info LSEnvironment

    predvolené čítanie /Applications/Firefox.app/Contents/Info LSEnvironment

    predvolené prečítať ~ / .MacOSX / prostredie DYLD_INSERT_LIBRARIES

    Po spustení týchto príkazov si všimnite celú cestu k súboru, ktorá sa vyvedie do okna terminálu (môže sa spárovať s výrazom "DYLD_INSERT_LIBRARIES"). Pre každý z príkazov, ktoré vyvedú cestu k súboru (a nehovorte, že doménový pár neexistuje), skopírujte celú časť cesty súboru a spustite nasledujúci príkaz s cestou súboru namiesto FILEPATH v príkaze (kopírovať a prilepiť tento príkaz):

    grep -a -o '__ldpath __ [- ~] *' FILEPAT

  2. Vyhľadajte súbory uvedené na výstupe z vyššie uvedených príkazov a odstráňte ich. Ak ich nemôžete nájsť v nástroji Finder, potom v každom prvom type "sudo rm" v termináli, za ktorým nasleduje jeden medzerník, a potom pomocou kurzora myši vyberiete celú cestu k súboru z výstupu prvého príkazu a použijete Command-C nasledovaný Command-V ho skopírovať a vložiť späť do Terminálu. Potom spustite príkaz a odstráňte tento súbor stlačením klávesu Enter.

    Pozrite si nasledujúci obrázok obrazovky ako príklad toho, ako by to malo vyzerať:

  3. Po odstránení všetkých odkazov na súbory pomocou príkazov "predvolené", odstránili ste súbory so škodlivým softvérom, ale stále musíte vynulovať zmenené aplikácie a súbory účtov, aby ste tak mohli spustiť nasledujúce príkazy:

    sudo predvolené zmazať /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

    sudo predvolené zmazať /Applications/Firefox.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

    predvolené vymažte ~ / .MacOSX / prostredie DYLD_INSERT_LIBRARIES

    spustiť unsetenv DYLD_INSERT_LIBRARIES

  4. V nástroji Finder prejdite do ponuky Go (Prejsť) a vyberte Library (Knižnica) (podržte tlačidlo Option v Lione, aby ste túto možnosť odkryli v ponuke) a potom otvorte priečinok LaunchAgents, kde by ste mali vidieť súbor s názvom "com.java.update .plist. " Ďalej do príkazového terminálu napíšte nasledujúci príkaz (Poznámka: zmena názvu príkazu "com.java.update" v príkaze odráža názov súboru pred príponou .plist, napríklad "com.adobe.reader", ak ste mať tento súbor):

    predvolené hodnoty ~ / Library / LaunchAgents / com.java.update ProgramArguments

    Po dokončení tohto príkazu stlačte kláves Enter a všimnite si cestu k súboru, ktorá bola vyvedená do okna Terminál.

    Ako ste už urobili, nájdite tento súbor vo vyhľadávači a odstráňte ho, ale ak to nemôžete urobiť, zadajte "sudo rm" a potom jeden priestor a potom skopírujte a vložte cestu výstupného súboru do príkazu a stlačte Enter.

  5. Ak chcete odstrániť skryté súbory .so, ktoré ste našli skôr, môžete ich odstrániť spustením nasledujúceho príkazu v termináli (nezabudnite skopírovať a prilepiť tento príkaz, pretože v poslednej zložke, ktorá obsahuje symboly a interpunkčné znamienka, ):

    sudo rm ~ /../ Zdieľané /.*

    Po dokončení tohto kroku odstráňte súbor s názvom "com.java.update.plist" (alebo "com.adobe.reader.plist") a mali by ste byť dobrí.

AKTUALIZOVANÉ: 4. 5. 2012, 22:00 - Pridané pokyny na detekciu a odstránenie skrytých súborov .so, ktoré používajú predchádzajúce varianty škodlivého softvéru.


 

Zanechajte Svoj Komentár