Σχετικά με το Flashback malware

Τις τελευταίες μέρες γίνεται λόγος ότι κάποιες 600.000 Mac computers έχουν μολυνθεί από το συγκεκριμένο malware. Το trojan OSX.Flashback.K λοιπόν έχει σχεδιαστεί ώστε να κλέβει την επισκεψιμότητα και τα διαφημιστικά έσοδα από την Google.

Πρόκειται δηλαδή για ένα “ad-clicking component” που εκμεταλεύεται ένα κενό ασφαλείας στο Java, για να παρεισφρήσει στο σύστημα, φορτώνεται στον Firefox, Chrome και Safari απ’ όπου παρεμβάλλεται σε όλες τις αναζητήσεις (click) που κάνει ο χρήστης μέσα από τον browser και τις ανά-κατευθύνει σε σελίδα(ες) επιλογής των δημιουργών του malware, οι οποίοι και καρπώνονται τα έσοδα από τα click.

Πάντως το malware δεν αποτελεί πλέον απειλή, μετά την κυκλοφορία σχετικού Java update διαθέσιμου μέσω του  > Software Update.

Αρχικά, για να έχει ήδη εγκατασταθεί το malware στο σύστημα σας πρέπει να το έχετε επιτρέψετε εσείς ο ίδιος μετά από επιίσκεψη σε κάποια, όπου είναι διαθέσιμο. Στη συνέχεια και μόνο εφ’ όσον αγνοήσατε τα ευάριθμα warnings ο “επισκέπτης” τελικά τα κατάφερε και εγκατεστάθηκε.

Σημειώνεται ότι το trojan εντάσεται σε μια νέα γενιά malware, αρχής γενομένης με το MacDefender πέρυσι την άνοιξη, που προκάλεσε καταστάσεις σε ευάριθμους χρήστες που πάντως στην κυριολεξία “πήγαιναν γυρεύοντας” όπως περιγράφεται και στην εξαιρετική προσέγγιση του blog OS Χ Spot, περί MacDefender ο λόγος.

Πως εντοπίζετε το Mac Flashback ;

Αν έχετε υπόνοιες ότι πιθανόν να το εγκαταστήσατε, πηγαίνετε /Applications/Utilities, ανοίγετε το Terminal, copy/paste διαδοχικά τις εντολές και Enter μετά από κάθε μια, ενώ σε αρνητική έκβαση θα δείτε το μήνυμα “does not exist”.

• defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
• defaults read /Applications/Safari.app/Contents/Info LSEnvironment
• defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Πλέον των εντολών ελέγχετε τυχόν παρουσία hidden .so files που δημιουργούν αρχεία του malware στο Shared user directory, με την εντολή·

• ls -la ~/../Shared/.*.so

Σε αρνητική έκβαση θα δείτε το μήνυμα “no such file or directory”, διαφορετικά θα τα δείτε σαν λίστα.

Update 13/4/2012

Η Apple κυκλοφόρησε μέσω του Software Update σχετικό security update που αφ’ ενός απομακρύνει τις περισσότερο γνωστές παραλλαγές του Flashback malware. Αφ’ ετέρου διαμορφώνει το Java web plug-in ώστε να απενεργοποιεί την αυτόματη εκτέλεση των Java Applets. Mπορείτε να κατεβάσετε το update και από εδώ.

Related posts :

• Έλεγχος στο Mac για το νέο “SabPub” malware
• Ιοί (virus), trojan horses και άλλοι ανεπιθύμητοι “επισκέπτες”
• Προληπτική αντιμετώπιση malware μέσω του Mac OS X
• OSX.Flashback.K
• The short history of Mac malware: 1982 – 2011