Est-ce que mon Mac est infecté par le Trojan Flashback?

Réponses:

24

Vous pouvez suivre les instructions de F-Secure pour désinstaller / supprimer le malware:

  1. Exécutez la commande suivante dans Terminal: 

    defaults read /Applications/Safari.app/Contents/Info LSEnvironment

  2. Prenez note de la valeur, DYLD_INSERT_LIBRARIES

  3. Passez à l'étape 8 si vous recevez le message d'erreur suivant:

    "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"

  4. Sinon, exécutez la commande suivante dans Terminal: 

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%

  5. Prendre note de la valeur après "__ldpath__"

  6. Exécutez les commandes suivantes dans Terminal (assurez-vous d'abord qu'il n'y a qu'une seule entrée, à partir de l'étape 2): 

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment`

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist`

  7. Supprimer les fichiers obtenus aux étapes 2 et 5

  8. Exécutez la commande suivante dans Terminal: 

    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

  9. Prenez note du résultat. Votre système est déjà propre de cette variante si vous recevez un message d'erreur semblable au suivant:

    "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

  10. Sinon, exécutez la commande suivante dans Terminal: 

    grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%

  11. Prendre note de la valeur après "__ldpath__"

  12. Exécutez les commandes suivantes dans Terminal: 

    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES

  13. Enfin, supprimez les fichiers obtenus aux étapes 9 et 11.

Mise à jour:

Apple a publié un outil officiel pour désinstaller le malware. Lisez-le et téléchargez-le sur cette page de la base de connaissances Apple.

F-Secure a également publié un outil de suppression, que vous pouvez télécharger ici.

Daviesgeek
la source
Ok, j'ai reçu le message d'erreur à l'étape 3 (et à l'étape 9). Est-ce que cela signifie que je suis en sécurité?
Richard Knop
@ RichardKnop Oui. Tu vas bien. Merci d'avoir posé la question, BTW.
daviesgeek
9

Vérificateur de flashback

Ceci s’adresse aux membres de votre famille et à vos amis qui souhaitent éviter d’utiliser le terminal .

Téléchargez cette application gratuite à partir de Github. Comme indiqué dans cet article de Macworld , l'application à fonction unique vérifie rapidement si votre ordinateur est infecté. L'application ne supprime pas le malware , qui sera laissé à l'utilisateur en suivant manuellement les instructions de F-secure .

entrez la description de l'image ici

Bryan Luby
la source
4

Outil de suppression de Kaspersky

... vérifie si votre Mac est affecté et supprime le cheval de Troie si nécessaire. Vous pouvez le télécharger sur
http://support.kaspersky.com/downloads/utils/flashfake_removal_tool.zip

entrez la description de l'image ici

Vérifiez en ligne en utilisant votre UUID

Vous pouvez vérifier si votre Mac est affecté à l'aide de votre UUID (identifiant unique universel) sur http://flashbackcheck.com/

  1. Aller à:

    /Applications/Utilites/System Information.app

    entrez la description de l'image ici

  2. Vérifiez l'UUID sur http://flashbackcheck.com/

Gentmatt
la source
2

Java pour Mac OS X 10.6 Update 8

Apple a publié une mise à jour logicielle officielle qui supprimera le logiciel malveillant de retour en arrière de votre ordinateur. Il suffit d’exécuter la mise à jour du logiciel sur votre Mac pour l’installer. Voici les détails de l' article du support Apple :

Cette mise à jour de sécurité Java supprime les variantes les plus courantes du logiciel malveillant Flashback.

Java pour OS X Lion 2012-003

De la mise à jour du Lion :

Cette mise à jour de sécurité Java supprime les variantes les plus courantes du logiciel malveillant Flashback.

Cette mise à jour configure également le plug-in Web Java pour désactiver l'exécution automatique des applets Java. Les utilisateurs peuvent réactiver l'exécution automatique d'applets Java à l'aide de l'application Préférences Java. Si le plug-in Web Java détecte qu'aucune applet n'a été exécutée pendant une période prolongée, il désactive à nouveau les applets Java.

Voici un article de support Apple sur le contenu de sécurité des mises à jour Java.

Bryan Luby
la source
2

Une ligne rapide à coller dans Terminal.app :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment &> /dev/null && echo "You seem to have Type 1"; defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES &> /dev/null && echo "You seem to have Type 2"

À moins que cela ne produise quoi que ce soit, vous êtes propre (au moins des types connus). S'il dit quelque chose, va nettoyer .

Ingmar Hupp
la source