Mucho se ha dicho y repetido que los Mac no necesitan software antivirus, pero su creciente popularidad (y la mala idea de algunos desaprensivos) podría forzar un cambio de mentalidad entre sus usuarios, y es que según informa la compañía de seguridad Dr. Web, unos 600.000 ordenadores con OS X estarían infectados con malware y conectándose a botnets.
Flashback, es un troyano que se aprovecha de una vulnerabilidad de Java y que ya ha infectado muchísimos ordenadores (600.000) Mac. Para evitar que pueda producirse dicho problema ya ha salido un parche de seguridad para Java. Para saber si nuestro Mac está afectado por Flashback y cómo solucionarlo y también saber qué es lo que hace Flashback vamos a seguir los siguientes pasos.
1. Ejecutar el siguiente comando en el Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES
3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
4. En caso contrario, ejecutar el siguiente comando en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step2
5. Nos fijamos en el valor siguiente a “ldpath“
6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
7. Borramos los archivos que hemos obtenido en los pasos 2 y 5
8. Ejecutamos el siguiente comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.
“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
10. De lo contrario, ejecutamos el comando siguiente en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9
11. Nos fijamos en el valor que sigue a “ldpath“
12. Ejecutamos las órdenes siguientes en el Terminal:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.
¿Cómo funciona Flashback?
En la página de F-Secure, también podemos ver más información acerca de cómo actua Flashback. Cómo todos los troyanos, lo primero que hace es intentar conseguir permisos de administrador, para lo cual nos pedirá nuestro usuario y contraseña de administrador. Si se lo damos el malware hace una serie de comprobaciones en nuestro sistema para instalarse. Su objetivo, modificar el contenido de algunas páginas web en nuestro navegador. De esta forma, podría por ejemplo redirigirnos a una página parecida y mostrar la información para conseguir nuestro usuario y contraseña en determinados sitios.
Lo gracioso del caso es que si tenemos determinados programas instalados en nuestro Mac, el malware simplemente se borra y desaparece sin dejar rastro. Es el caso de Little Snitch, XCode, y algunos paquetes de antivirus. Si lo logra, se lo comunicará a esta url: http://95.215.63.38/stat_d/ y, en caso contrario, a esta otra: http://95.215.63.38/stat_n/
Si no le damos nuestra contraseña de usuario, hace algunas comprobaciones más, como ver si tenemos instalado Word, Office 2008, Office 2011 o Skype, debe ser porque son incompatibles de alguna forma con los pasos que hará a continuación, que es intentar infectar los archivos binarios y comunicar su éxito a esta dirección web: http://95.215.63.38/stat_u/.
Si habéis hecho los pasos anteriores y vuestro Mac no ha sido afectado, recordad que tenéis que instalar la actualización de seguridad o directamente desde este enlace para Leopard o para Lion, o bien actualizar Java para evitar que ocurra.
Autor: Fernando Doutel.
Ültimas noticias: F-Secure y Kaspersky lanzan sus propias herramientas para eliminar al troyano Flashback
No hay comentarios :
Publicar un comentario