Mac Flashback-skadlig kod: Vad det är och hur bli av med det (FAQ)

Apples Mac-plattform har länge blivit främjad som säkrare än tävlingen, men när Mac-försäljningen och marknadsandelen växer har den blivit ett större mål.

Ingenstans är det tydligare än med Flashback Trojan, en gnarly bit av malware som är utformad för att stjäla personlig information genom masquerading som mycket vanliga plug-ins för webbläsare. Igår sa ryska antivirusföretaget Dr. Web att en beräknad 600 000 Mac-användare nu smittas till följd av att användarna omedvetet installerat programvaran.

Så här är en snabb FAQ på Flashback Trojan, inklusive information om vad det är, hur man berättar om du har det och åtgärder du kan vidta för att bli av med det.

Vad är Flashback?

Flashback är en form av skadlig kod som är utformad för att ta tag i lösenord och annan information från användare via deras webbläsare och andra applikationer som Skype. En användare misstänker det vanligtvis för en legitim plugin för webbläsare medan man besöker en skadlig webbplats. På den tiden installerar programvaran kod som är utformad för att samla in personlig information och skicka den tillbaka till fjärrservrar. I sina senaste inkarnationer kan mjukvaran installera sig utan användarinteraktion.

När visade det sig först?

Flashback som vi känner till visade sig nu i slutet av september förra året och låtsas vara ett installationsprogram för Adobe Flash, en mycket använd plug-in för streaming video och interaktiva applikationer som Apple inte längre skickar på sina datorer. Malware utvecklades för att riktas mot Java runtime på OS X, där användare som besöker skadliga webbplatser skulle uppmanas att installera det på sin maskin för att visa webbinnehåll. Fler avancerade versioner skulle installera tyst i bakgrunden utan att behöva lösenord.

Hur infekterade det så många datorer?

Det enkla svaret är att mjukvaran var utformad för att göra exakt det. I sin första inkarnation såg malware sig väldigt lik Adobe Flash-installationsprogrammet. Det hjälpte inte att Apple inte har skickat Flash på sina datorer under drygt ett år, vilket möjligen skapar en pool av användare som är mer benägna att köra installationsprogrammet för att se populära webbplatser som körs på Flash. I sina nyare Java-relaterade varianter kan programvaran installera sig utan att användaren måste klicka på något eller ge det ett lösenord.

Vad som också inte hjälpte är det sätt som Apple hanterar Java. I stället för att helt enkelt använda Java: s nuvarande offentliggörande skapar och upprätthåller företaget sina egna versioner. Som det visar sig utnyttjade malware författarna en särskild sårbarhet som Oracle patched i februari. Apple kom inte runt för att fixa sin egen Java-version till april.

Vad har Apple gjort om det?

Apple har sin egen malware scanner inbyggd i OS X som heter XProtect. Sedan Flashback lanseringen har säkerhetsverktyget uppdaterats två gånger för att identifiera och skydda mot en handfull Flashback-varianter.

En senare version av skadlig programvara kom emellertid runt XProtect genom att utföra sina filer via Java. Apple stängde malware huvudinmatningspunkt med en Java-uppdatering den 3 april och har sedan släppt ett borttagningsverktyg som en del av en senare Java-uppdatering.

Obs! Java-säkerhetsskorrigeringarna är bara tillgängliga i Mac OS X 10.6.8 och senare, så om du kör OS X 10.5 eller tidigare kommer du fortfarande att vara sårbar. Apple har slutat leverera programuppdateringar för dessa operativsystem.

Hur säger jag om jag har det?

Just nu är det enklaste sättet att berätta om din dator har smittats, att gå till säkerhetsföretaget F-Secure och ladda ner dess Flashback-detektering och borttagningsprogram. Följ instruktionerna här om hur du får och använder den. Säkerhetsföretag Symantec erbjuder sitt eget, Norton-märkta fristående verktyg, som du kan komma hit.

Alternativt kan du köra en trio kommandon i Terminal, en mjukvara som du hittar i mappen Verktyg i mappens programmapp. Om du vill hitta den utan att gräva, gör bara en Spotlight-sökning efter "Terminal".

En gång där, kopiera och klistra in var och en av kodsträngarna nedan i terminalfönstret. Kommandot körs automatiskt:

standardvärden läs /Applications/Safari.app/Contents/Info LSEnvironment

standardinställningar läs /Applications/Firefox.app/Contents/Info LSEnvironment

standardvärden läser ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

Om ditt system är rent kommer kommandon att berätta att domänen / standardparen "existerar inte". Om du är infekterad kommer den att spita upp patchen där malware har installerat sig på ditt system.

Uh, jag har den. Hur tar jag bort det?

Med hjälp av något av ovanstående kommer de ovan nämnda verktygen från F-Secure eller Norton automatiskt att bli av med skadlig programvara från din dator utan några ytterligare steg. Om du av någon anledning är försiktig med att använda ett av dessa verktyg från tredje part, ger CNETs Topher Kessler en stegvis guide om hur du tar bort Flashback från din Mac. Denna process kräver också att man hoppar in i Terminal och kör dessa kommandon, spårar sedan ner de smittade filerna och lagrar dem manuellt.

För en bra åtgärd är det också en bra idé att ändra dina online lösenord hos finansiella institutioner och andra säkra tjänster som du kanske har använt medan datorn skadades. Det är oklart om dessa uppgifter riktade sig, loggades och skickades som en del av attacken, men det är ett smart förebyggande beteende som är värt att göra regelbundet.

Relaterade historier

  • Apples Flashback Malware Remover lever nu
  • Flashback det största Mac-malwarehotet ännu, säger experter
  • Mer än 600.000 Mac-smittade med Flashback botnet
  • Java-uppdatering för OS X-patchar Flashback-malwareutnyttjande
  • ZDNet: Ny Mac-malwareepidemi exploaterar svagheter i Apples ekosystem

Så nu är fixarna här, är jag säker?

I ett ord, nej. Flashback-författarna har redan visat sig vara benägen att fortsätta att ändra skadlig programvara för att undanröja nya säkerhetsfixar.

CNETs råd är främst att ladda ner någon programvara endast från betrodda källor. Det inkluderar webbplatser för kända och pålitliga programvaruleverantörer, såväl säkrade repositorier som CNET: s Download.com. Som en annan tumregel är det också en bra idé att hålla bilagor från tredje part så aktuella som möjligt för att hålla sig uppdaterad med eventuella säkerhetsuppdateringar. Om du vill stanna ännu säkrare, håll dig borta från Java och andra systemtillägg, såvida de inte behövs av en pålitlig programvara eller en webbtjänst.

CNET blogger Topher Kessler och CNET seniorredaktör Seth Rosenblatt bidrog till denna rapport.

Uppdaterad vid 1:40 PM PT den 5 april med uppdaterade borttagningsanvisningar. Uppdaterad den 6 april klockan 19:44 PT med information om en andra uppdatering från Apple, och klockan 1:55 PT med information om Dr. Webs webbaserade detekteringsverktyg. Uppdaterad den 9 april kl 12:30 PT med självständig bekräftelse på att Dr. Webs formulär är säkert för folk att använda. Uppdaterad än en gång till klockan 4 PM PT den 12 april för att notera utgåvan och detaljerna i Apples egna borttagningsverktyg.

 

Lämna Din Kommentar