Jak odstranit malware Flashback z OS X

Zatímco operační systém OS X byl během prvních deseti let používání poměrně neplatný, nedávno se objevily hrozby malwaru, které postihly významný počet systémů Mac.

Jedním z prvních byl MacDefender falešný antivirový podvod, který lidem vydával informace o kreditní kartě ze strachu, že jejich systémy byly infikovány. Tento podvod se poměrně rychle vyvíjel, protože se snažil vyhnout se odhalení a přimět lidi, aby nabízeli osobní informace. Dalším podvodem byl malware DNSChanger, který postihl miliony počítačových systémů po celém světě a který nakonec nasměroval postižené systémy na škodlivé webové servery a jako malware MacDefender se snažil přimět lidi, aby nabízeli osobní informace.

Nejnovějším malwarem zasaženým operačním systémem OS X byl podvod Flashback, který zpočátku začínal jako falešná aplikace pro instalaci přehrávače Flash Player, která se poměrně snadno vyhnula. Nicméně hrozba se rychle proměnila v vážnější hrozbu tím, že využila neopracovaných bezpečnostních otvorů v Javě (které Apple od té doby řešil) instalovat na Mac se systémem Java pouze tím, že navštíví škodlivou webovou stránku a nevyžaduje žádnou pozornost uživatele. Zatím se odhaduje, že infikovalo více než 600 000 systémů Mac na celém světě, přičemž většina z nich byla v USA a Kanadě.

Jak to funguje?

Malware Flashback zavádí kód do aplikací (konkrétně webových prohlížečů), které budou spuštěny při spuštění, a které pak posílají snímky obrazovky a jiné osobní informace na vzdálené servery.

První krok: Využití Java

Když narazíte na škodlivou webovou stránku obsahující škodlivý software a máte v systému spuštěnou verzi Java, spustí nejprve malý applet Java, který při spuštění poruší zabezpečení Java a zapíše malý instalační program do účtu uživatele. Program je pojmenován jako .jupdate, .mkeeper, .flserv, .null nebo .rserv a období před ním se zdá být skryté ve výchozím zobrazení Finder.

Navíc applet Java napíše spouštěcí soubor s názvem "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" nebo "null.plist" do složky ~ / Library / LaunchAgents / aktuálního uživatele, který neustále spouští program .jupdate vždy, když je uživatel přihlášen.

Aby nedošlo k odhalení, instalátor nejprve vyhledá přítomnost některých antivirových nástrojů a dalších nástrojů, které mohou být přítomny v systému uživatele, který podle F-Secure obsahuje následující:

/ Knihovna / Malý Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Aplikace / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Aplikace / Paket Peeper.app

Pokud jsou tyto nástroje nalezeny, pak se škodlivý software sám vymaže a snaží se zabránit odhalení těch, kteří mají prostředky a schopnosti. Mnoho malware programů používá toto chování, jak bylo vidět v jiných, jako je bot tsunami malware.

Druhý krok: Stažení užitečného zatížení

Po spuštění programu jupdate se připojí ke vzdálenému serveru a stáhne program pro ukládání dat, který je malware sám a který se skládá ze dvou komponent. První je hlavní část škodlivého softwaru, který provádí zachycování a nahrávání osobních informací, a druhá součást filtru, která se používá k zabránění spuštění malwaru, pokud nejsou používány určité programy, jako jsou webové prohlížeče.

Třetí krok: infekce

Jakmile je malware a filtr staženy, je malware spuštěn, aby infikoval systém. Zde uživatelé uvidí varování o aktualizaci softwaru a budou vyzváni k zadání hesel. Bohužel v tomto okamžiku není nic, co by zastavilo infekci, a bez ohledu na to, zda je heslo dodáváno, mění pouze režim infekce.

Kořen rutiny infekce je založen na únosu konfiguračních souborů v OS X, které jsou čteny a spouštěny při spouštění programů. Jeden z nich se nazývá "Info.plist" umístěný ve složce "Obsah" v rámci každého balíčku aplikace OS X a čte se při každém otevření konkrétního programu. Druhá se nazývá "environment.plist" a nachází se v uživatelském účtu ve skrytém adresáři (~ / .MacOSX / environment.plist), který lze použít při spouštění parametrů vždy, když uživatel otevře nějaké programy.

První režim infekce je v případě, že je dodáno heslo, v takovém případě malware změní soubory Info.plist v Safari a Firefox, aby spustili malware vždy, když byly tyto programy otevřeny. Jedná se o preferovaný způsob infekce škodlivého softwaru, ale pokud heslo není dodáno, pak se malware dostane do druhého režimu infekce, kde změní soubor "environment.plist".

Použitím souboru environment.plist se malware spustí vždy, když se otevře nějaká aplikace, a to povede ke zhroucení a jinému lichému chování, které by mohlo uživateli způsobit poplach, takže malware pak použije filtr, jsou spuštěny, například Safari, Firefox, Skype, a dokonce i instalace Office.

V každém případě po stažení bude malware napadat systém pomocí jednoho z těchto přístupů a bude spuštěn vždy, když budou používány cílové aplikace, jako jsou webové prohlížeče. V novějších variantách škodlivého softwaru při instalaci pomocí souboru "environment.plist" bude systém dále zkontrolovat, aby se zajistila úplná instalace programů, jako je Office nebo Skype, a případně se odstraní, pokud tyto programy nejsou zcela nebo správně nainstalován. F-Secure spekuluje, že se jedná o pokus zabránit včasné detekci škodlivého softwaru.

Jak to zjistím?

Detekce škodlivého softwaru je poměrně snadná a vyžaduje jednoduše otevření aplikace Terminal ve složce / Applications / Utilities / / Applications a spusťte následující příkazy:

výchozí hodnoty ~ / .MacOSX / prostředí DYLD_INSERT_LIBRARIES

výchozí hodnoty čtení /Applications/Safari.app/Contents/Info LSEnvironment

výchozí hodnoty číst /Applications/Firefox.app/Contents/Info LSEnvironment

Tyto příkazy si přečtou soubor "Info.plist" některých cílových aplikací a soubor "environment.plist" v uživatelském účtu a zjistí, zda je přítomna proměnná, kterou malware spouští (nazývá se "DYLD_INSERT_LIBRARIES"). Není-li proměnná přítomna, pak tyto tři příkazy terminálu vyvedou, že výchozí pár "neexistuje", ale pokud jsou přítomné, pak tyto příkazy vyvedou cestu, která ukazuje na malwarový soubor, který byste měli vidět na terminálu okno.

Kromě výše uvedených příkazů můžete zkontrolovat přítomnost neviditelných souborů .so, které v minulosti vytvořené varianty škodlivého softwaru vytváří v adresáři sdíleného uživatele, a to spuštěním následujícího příkazu v terminálu:

ls -la ~ /../ Shared /.*

Po spuštění tohoto příkazu, pokud vidíte výstup "žádný takový soubor nebo adresář", nemáte tyto soubory ve sdíleném adresáři uživatele; pokud jsou přítomny, pak uvidíte, že jsou uvedeny.

Jak jej mohu odstranit?

Pokud po spuštění prvních tří detekčních příkazů zjistíte, že váš systém obsahuje upravené soubory a máte podezření, že je nainstalován malware, můžete je odstranit pomocí pokynů k ručnímu odstranění F-Secure. Tyto pokyny jsou trochu důkladné, ale pokud je budete přesně sledovat, měli byste být schopni zbavit systém infekce:

  1. Otevřete terminál a spusťte následující příkazy (stejné jako výše):

    výchozí hodnoty čtení /Applications/Safari.app/Contents/Info LSEnvironment

    výchozí hodnoty číst /Applications/Firefox.app/Contents/Info LSEnvironment

    výchozí hodnoty ~ / .MacOSX / prostředí DYLD_INSERT_LIBRARIES

    Po spuštění těchto příkazů si všimněte úplné cesty k souboru, které se zobrazí v okně terminálu (může být spárováno s pojmem "DYLD_INSERT_LIBRARIES"). Pro každý z příkazů, které vyvedou cestu k souboru (a neříkejte, že neexistuje dvojice domén), zkopírujte celou část cesty souboru a spusťte následující příkaz s cestou souboru namísto FILEPATH v příkazu (kopírování a vložení tento příkaz):

    grep -a -o '__ldpath __ [- ~] *' FILEPATH

  2. Najděte soubory uvedené na výstupu výše uvedených příkazů a odstraňte je. Pokud je nemůžete nalézt v Finderu, pak pro každý první typ "sudo rm" v terminálu, za kterým následuje jediný prostor, a pak pomocí kurzoru myši vyberte cestu úplného souboru z výstupu prvního příkazu a použijte Command-C následovaný příkazem Command-V, který jej zkopíruje a vloží do Terminálu. Poté stisknutím klávesy Enter spusťte příkaz a tento soubor odeberte.

    Následující snímek obrazovky naleznete na příkladu toho, jak by to mělo vypadat:

  3. Po odstranění všech odkazů na soubory výše uvedenými příkazy "výchozí" jste odstranili soubory škodlivého softwaru, ale stále je třeba resetovat upravené aplikace a soubory účtů, abyste mohli provést následující příkazy:

    sudo výchozí smazat /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

    sudo výchozí smazat /Applications/Firefox.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

    výchozí smazat ~ / .MacOSX / prostředí DYLD_INSERT_LIBRARIES

    spustit unsetenv DYLD_INSERT_LIBRARIES

  4. V nástroji Finder přejděte do nabídky Přejít a vyberte možnost Knihovna (klepnutím na tlačítko Option v levém panelu otevřete tuto možnost v nabídce) a otevřete složku LaunchAgents, kde byste měli vidět soubor s názvem "com.java.update .plist. " Dále zadejte následující příkaz do terminálu (Poznámka: změňte název příkazu com.java.update v příkazu tak, aby odrážel název souboru před jeho příponou .plist, například "com.adobe.reader", pokud jste má tento soubor):

    výchozí hodnoty ~ / Library / LaunchAgents / com.java.update ProgramArguments

    Po dokončení tohoto příkazu stiskněte klávesu Enter a poznamenejte si cestu k souboru, která byla vyvedena do okna Terminál.

    Stejně jako dříve, vyhledejte tento soubor v Finderu a odstraňte ho, ale pokud to nemůžete udělat, zadejte "sudo rm", za kterým následuje jediný prostor, a potom zkopírujte a vložte cestu výstupního souboru do příkazu a stiskněte klávesu Enter.

  5. Chcete-li odstranit všechny skryté soubory .so, které jste našli dříve, můžete je odstranit spuštěním následujícího příkazu v terminálu (ujistěte se, že tento příkaz zkopírujete a vložíte, neboť v poslední součásti, která obsahuje symboly a interpunkční znaménka, ):

    sudo rm ~ /../ Sdílené /.*

    Po dokončení tohoto kroku odeberte soubor s názvem "com.java.update.plist" (nebo "com.adobe.reader.plist") a měli byste být rád.

AKTUALIZOVÁNO: 4. 5. 2012, 10:00 hod. - Přidány pokyny pro detekci a odstranění skrytých souborů .so používaných předchozími variantami škodlivého softwaru.


 

Zanechte Svůj Komentář