macnotes.gr
a blog for first time Mac users

Έλεγχος στο Mac για το νέο “SabPub” malware

Apr. 17th 2012 0 comments

Προ ημερών προκλήθηκε θέμα με το Flashback malware. Ενώ λοιπόν η απειλή έχει ήδη εξουδετερωθεί, ανέκυψε ένα καινούριο, συγγενές θα μπορούσε να πει κανείς malware αποκαλούμενο SabPub που και αυτό εκμεταλεύεται το κενό ασφάλειας του Java αλλά και αρχείων παλαιότερων versions του Microsoft Word ώστε να παρεισφρύσει στο σύστημα. Απ’ ότι δε φαίνεται κυκλοφορεί τουλάχιστον με μία ακόμη παραλαγή, το MacKontrol.

Όταν λοιπόν το malware εγκατασταθεί στο σύστημα, όπως και τα άλλα συγγενή Trojans και malware, δημιουργεί ένα launcher file που δείχνει να είναι αυθεντικό αρχείο της Apple και μέσω αυτού χρησιμοποιεί τον launcher ώστε να τρέχει στο προσβληθέν σύστημα. Στη συνέχεια το malware προσπαθεί για upload σε remote servers προσωπικών πληροφοριών όπως screen shots κι όχι μόνο.

Βασικά, εφ’ όσον διατηρείτε το σύστημα σας updated το malware δεν μπορεί να θεωρηθεί σοβαρή απειλή, ενώ όσο αφορά στο Microsoft Office, αν έχει γίνει updated πρόσφατα, είναι και αυτό ασφαλές.

Παρ’ όλα αυτά, συνιστάται να βεβαιωθείτε ότι το σύστημα σας είναι καθαρό. Για να το κάνετε, με πατημένο το πλήκτρο Alt πηγαίνετε Finder > Go, επιλέγετε Library και ανοίγετε τους φακέλους LaunchAgents και Preferences.

Σε περίπτωση που το σύστημα έχει προσβληθεί λοιπόν, θα πρέπει να βρείτε στον φάκελο LaunchAgents και να σύρετε στον κάδο το·

com.apple.PubSabAgent.plist

Ενώ στον φάκελο Preferences θα πρέπει να βρείτε και να σύρετε στον κάδο το·

com.apple.PubSabAgent.pfile

Το πρώτο αρχείο είναι ο launcher που διατηρεί ενεργό το process και το δεύτερο είναι το ίδιο το process.

Εναλλακτικά, μπορείτε να τρέξετε στο Terminal τις εντολές:

  • rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
  • rm ~/Library/Preferences/com.apple.PubSabAgent.pfile

Στη συνέχεια πηγαίνετε   > Log Out – Log In, ώστε να καθαριστεί το σύστημα.

Να έχετε υπ’ όψη σας ότι το Time Machine περιλαμβάνει ενδεχομένως σε παλαιότερα backup του αυτά τα αρχεία. Πριν προχωρήσετε σε restore του συστήματος λοιπόν, συνιστάται να τα εντοπίσετε. Με ctrl-click ή right-click επιλέγετε την διαγραφή τους από όλα τα backup.

Στο προηγούμενο screen shot υποδεικνύεται με μπλέ βέλος ο φάκελος PubSub, που δεν έχει καμία σχέση με το malware. Λειτουργεί δηλαδή για συγχρονισμό RSS μεταξύ συσκευών, ενώ μπορεί να δείτε στο Activity Monitor ένα process με το όνομα PubSub ή PubSubAgent που βέβαια δεν έχει καμία σχέση με το malware.

Related posts :

[Via MacFixIt]

0 comments Add a comment


No comments yet.

Add a Comment





reset all fields