Kako ukloniti maliciozni Flashback iz OS X-a

Iako je OS X bio relativno nevažeći za prvih 10 godina upotrebe, nedavno su se pojavile zlonamjerne smetnje koje su utjecale na značajan broj Mac sustava.

Jedan od prvih bio je MacDefender lažni antivirusni prijevar, koji je ljude koji su izdavali podatke o kreditnim karticama iz straha da su njihovi sustavi zaraženi. Ta je prijevara vrlo brzo prerasla u pokušaj izbjegavanja otkrivanja i nastavljanja prisiljavanja ljudi da ponude osobne podatke. Još jedna muljaža bila je zlonamjerni softver DNSChanger koji je utjecao na milijune PC sustava diljem svijeta, a koji su naposljetku usmjerili zahvaćene sustave na zlonamjerne web stranice, kao i MacDefender malware koji je pokušao natjerati ljude da ponude osobne podatke.

Najnoviji malware koji je pogodio OS X bio je Flashback muljaža, koja je u početku započela kao lažna aplikacija za instalaciju Flash playera koju je relativno lako izbjeći. Međutim, prijetnja se brzo pretvorila u ozbiljniju prijetnju iskorištavanjem nepokrivenih sigurnosnih rupa u Javi (koje je Apple od tada adresirao) za instalaciju na Mac koji radi pod Java-om samo posjetom zlonamjernoj web-stranici i ne zahtijevajući pažnju korisnika. Do sada se procjenjuje da je zaraženo preko 600.000 Mac sustava širom svijeta, a većina u SAD-u i Kanadi.

Kako radi?

Maliciozni Flashback ubacuje kod u aplikacije (posebno web-preglednike) koji će se izvršavati kada se pokrenu i koji zatim šalju screenshotove i druge osobne podatke udaljenim poslužiteljima.

Prvi korak: iskorištavanje Jave

Kada naiđete na zlonamjernu web-stranicu koja sadrži zlonamjerni softver i imate pokrenutu verziju Jave na vašem sustavu, ona će najprije izvršiti mali Java applet koji će prilikom pokretanja slomiti Java sigurnost i napisati mali program za instalaciju na korisnički račun. Program je nazvan nešto poput .jupdate, .mkeeper, .flserv, .null ili .rserv, a razdoblje ispred njega čini se da je skriven u zadanom prikazu Findera.

Osim toga, Java applet će napisati datoteku za pokretanje pod nazivom "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" ili čak "null.plist" u trenutnu korisnikovu mapu ~ / Library / LaunchAgents / koja će neprestano pokretati .jupdate program kad god je korisnik prijavljen.

Kako bi se izbjeglo otkrivanje, instalacijski program najprije će potražiti prisutnost nekih antivirusnih alata i drugih uslužnih programa koji bi mogli biti prisutni u sustavu korisnika energije, koji prema F-Secureu uključuju sljedeće:

/ Knjižnica / Little Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Aplikacije / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Applications / Packet Peeper.app

Ako se pronađu ovi alati, zlonamjerni softver se sam briše u pokušaju da spriječi otkrivanje od strane onih koji imaju sredstva i mogućnosti za to. Mnoge zlonamjerne programe koriste takvo ponašanje, kao što je viđeno u drugima, kao što je bot malware za Tsunami.

Drugi korak: preuzimanje sadržaja

Kada se jupdate program izvrši, spojit će se s udaljenim poslužiteljem i preuzeti program koji je sam malware, a sastoji se od dvije komponente. Prvi je glavni dio zlonamjernog softvera koji izvodi snimanje i prijenos osobnih podataka, a drugi je komponenta filtra koja se koristi za sprječavanje pokretanja zlonamjernog softvera ako se ne koriste određeni programi poput web-preglednika.

Treći korak: Infekcija

Nakon preuzimanja zlonamjernog softvera i filtra, malware se pokreće kako bi zarazio sustav. Tamo će korisnici vidjeti upozorenje o ažuriranju softvera i od vas će se tražiti da dostave svoje zaporke. Nažalost, u ovom trenutku ne postoji ništa što bi zaustavilo infekciju, i je li lozinka isporučena samo mijenja način infekcije.

Korijen rutine infekcije temelji se na otmici konfiguracijskih datoteka u OS X koje se čitaju i izvršavaju kada se programi izvode. Jedan od njih naziva se "Info.plist" koji se nalazi u mapi "Sadržaj" unutar svakog paketa OS X aplikacije i čita se svaki put kad se otvori određeni program. Drugi se naziva "environment.plist" i nalazi se unutar korisničkog računa u skrivenoj mapi (~ / .MacOSX / environment.plist), koja se može koristiti za pokretanje parametara kad god korisnik otvori bilo koji program.

Prvi način zaraze je ako se dostavi lozinka, u kojem slučaju zlonamjerni program mijenja datoteke Info.plist u Safariju i Firefoxu kako bi pokrenuo zlonamjerni softver svaki put kad se ti programi otvore. To je preferirani način zaraze zlonamjernog softvera, ali ako se ne dostavi lozinka, zlonamjerni softver pribjegava svom drugom načinu infekcije, gdje mijenja datoteku "environment.plist".

Pomoću datoteke environment.plist zlonamjerni softver će se pokrenuti kad god se otvori bilo koja aplikacija, a to će dovesti do rušenja i drugih neobičnog ponašanja koje može uzrokovati uzbunu korisnika, tako da zlonamjerni softver tada koristi svoju komponentu filtra da bi se pokrenuo samo kada određene aplikacije su pokrenuti, kao što su Safari, Firefox, Skype, pa čak i instalacije sustava Office.

U svakom slučaju, jednom kada se preuzme zlonamjerni softver, zarazit će sustav pomoću jednog od tih pristupa i pokrenuti će se svaki put kad se koriste ciljane aplikacije poput web-preglednika. U novijim varijantama zlonamjernog softvera, kada se instalira pomoću datoteke "environment.plist", dodatno će provjeriti sustav kako bi se osigurale potpune instalacije programa kao što su Office ili Skype, te se potencijalno izbrisati ako ti programi nisu u potpunosti ili ispravno instaliran. F-Secure špekulira da je to pokušaj da se spriječi rano otkrivanje zlonamjernog softvera.

Kako je mogu otkriti?

Otkrivanje zlonamjernog softvera je prilično jednostavno i zahtijeva da jednostavno otvorite aplikaciju Terminal u mapi / Applications / Utilities / i pokrenete sljedeće naredbe:

zadane postavke ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

zadane postavke /Applications/Safari.app/Contents/Info LSEnvironment

zadane postavke pročitajte /Applications/Firefox.app/Contents/Info LSEnvironment

Te će naredbe pročitati datoteku "Info.plist" nekih ciljnih aplikacija i datoteku "environment.plist" u korisničkom računu i odrediti je li prisutna varijabla koju je malware pokrenuo (nazvan "DYLD_INSERT_LIBRARIES"). Ako varijabla nije prisutna, te tri terminalne naredbe će ispisati da zadani par "ne postoji", ali ako su prisutne, te će naredbe ispisati put koji pokazuje na malware datoteku, koju biste trebali vidjeti na terminalu prozor.

Osim gore navedenih naredbi, možete provjeriti prisutnost nevidljivih .so datoteka koje su prošle varijante zlonamjernog softvera stvorile u Dijeljenom korisničkom direktoriju pokretanjem sljedeće naredbe u Terminalu:

ls -la ~ /../ Dijeljeno /. *

Nakon pokretanja ove naredbe, ako vidite izlaz "bez takve datoteke ili direktorija", nemate te datoteke u svom zajedničkom imeniku korisnika; no ako su prisutni, vidjet ćete ih na popisu.

Kako je mogu ukloniti?

Ako nakon prve tri naredbe za otkrivanje otkrijete da vaš sustav sadrži izmijenjene datoteke i sumnjate da je instaliran zlonamjerni softver, možete ga ukloniti pomoću F-Secure uputa za ručno uklanjanje. Ove su upute pomalo duboke, ali ako ih točno slijedite, trebali biste biti u mogućnosti riješiti sustav infekcije:

  1. Otvorite terminal i pokrenite sljedeće naredbe (iste kao i gore):

    zadane postavke /Applications/Safari.app/Contents/Info LSEnvironment

    zadane postavke pročitajte /Applications/Firefox.app/Contents/Info LSEnvironment

    zadane postavke ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

    Kada se te naredbe pokrenu, zabilježite cijeli put datoteke koji se šalje u prozor terminala (može biti uparen s izrazom "DYLD_INSERT_LIBRARIES"). Za svaku od naredbi koje izlaze putem datoteke (i ne kažu da domena ne postoji), kopirajte cijeli odjeljak putanje datoteke i pokrenite sljedeću naredbu s putanjom datoteke umjesto naredbe FILEPATH (kopirajte i zalijepite) ovu naredbu):

    grep -a -o '__ldpath __ [- ~] *' FILEPATH

  2. Pronađite datoteke navedene u izlaznim naredbama i izbrišite ih. Ako ih ne možete pronaći u Finderu, onda za svaki prvi tip "sudo rm" u terminalu iza kojeg slijedi jedan razmak, a zatim pomoću pokazivača miša odaberite punu putanju datoteke od izlaza prve naredbe i koristite Command-C slijedi Command-V za kopiranje i lijepljenje natrag u terminal. Zatim pritisnite Enter kako biste izvršili naredbu i uklonili ovu datoteku.

    Pogledajte sljedeći snimak zaslona za primjer kako to treba izgledati:

  3. Kada ste izbrisali sve reference datoteka prema gore navedenim naredbama "zadane postavke", uklonili ste datoteke zlonamjernog softvera, ali i dalje morate poništiti izmijenjene aplikacije i datoteke računa, tako da za to pokrenete sljedeće naredbe:

    sudo defaults izbriši /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

    sudo defaults izbrisati /Applications/Firefox.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

    defaults izbrisati ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

    launchctl unsetenv DYLD_INSERT_LIBRARIES

  4. U Finderu, idite na izbornik Go i odaberite Library (držite tipku Option u Lionu da biste otkrili ovu opciju u izborniku), a zatim otvorite mapu LaunchAgents gdje biste trebali vidjeti datoteku pod nazivom "com.java.update" .plist.” Zatim u Terminal upišite sljedeću naredbu (Napomena: promijenite ime "com.java.update" u naredbi kako bi odražavala ime datoteke prije njezinog .plist sufiksa, kao što je "com.adobe.reader" ako imaju tu datoteku):

    defaults pročitajte ~ / Library / LaunchAgents / com.java.update Programski argumenti

    Kada se ova naredba dovrši, pritisnite Enter i zabilježite putanju datoteke koja je izlazila u prozor Terminala.

    Kao što ste to učinili ranije, pronađite ovu datoteku u Finderu i izbrišite je, ali ako to ne možete učiniti, upišite "sudo rm" nakon čega slijedi jedan razmak, a zatim kopirajte i zalijepite putanju izlazne datoteke u naredbu i pritisnite Enter.

  5. Da biste uklonili skrivene .so datoteke koje ste ranije pronašli, možete ih ukloniti pokretanjem sljedeće naredbe u Terminalu (svakako kopirajte i zalijepite ovu naredbu, jer u posljednjoj komponenti ne smije biti nikakvih razmaka koji sadrže simbole i znakove interpunkcije). ):

    sudo rm ~ /../ Dijeljeno /.*

    Nakon dovršetka ovog koraka uklonite datoteku pod nazivom "com.java.update.plist" (ili "com.adobe.reader.plist" i trebate biti spremni.

OSVJEŽENO: 4/5/2012, 10:00 pm - Dodane upute za otkrivanje i uklanjanje skrivenih .so datoteka koje koriste prethodne varijante zlonamjernog softvera.

Popularni Postovi

Nadogradite svoje iskustvo s biranjem Androida pomoću značajke Ready 2.0

Imate problema s kompasom telefona? Pročitaj ovo

Napravite crusty ručnike opet osjetiti s ovim jednostavan trik

Prilagodite obavijesti sustava Windows 10.

Jednostavan pristup pregledniku u Dropbox pomoću programa QuickDrop za Chrome

Kao Pokemon Go? I ove igre će vam se svidjeti

 

Ostavite Komentar