Лечим Мак от заражения вирусом Flashback.I

Опубликовано

Разработчики антивируса Dr. Web на этой неделе здорово подпортили настроение Apple и сообществу маководов собственной информационной сводкой, в которой сообщалось, что количество Маков, заражённых троянским вирусом Flashback.I, перевалило уже за 550000.

Мы не писали об этом по одной причине: нет совершенно никакого смысла в том, чтобы объявлять пользователям «Вы знаете, что ваш Мак может быть заражён трояном?!» и не рассказать при этом, как можно проверить, заражён ли он и как поступить в этом случае.

Сейчас, когда есть исчерпывающая информация по обнаружению и лечению вируса Flashback.I, мы публикуем подробную инструкцию.

Итак, самое главное — тест на заражение. Ваша задача состоит в том, чтобы запустить Терминал и ввести команды (после каждой нужно нажимать Enter/Return):

[php]defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES[/php]

В итоге вы должны увидеть следующие сообщения:

Если вместо сообщений «The domain … does not exist» вы увидите что-либо ещё, самое время заволноваться. Пути к вирусным объектам — это значения переменной DYLD_INSERT_LIBRARIES. Затем надо будет вбить ещё две команды:

[php]grep -a -o ‘__ldpath__[ -~]*’ %PATH1%
grep -a -o ‘__ldpath__[ -~]*’ %PATH2%[/php]

PATH1 вы заменяете на путь, который вам выдаст первая по счёту команда из данной статьи (defaults read /Applications/Safari.app/Contents/Info LSEnvironment), PATH2 — на путь, что выдаст вторая команда (defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES). Нужно обратить внимание на то, что будет следовать после __ldpath__ — это тоже будут пути к заражённым файлам.

Затем делом нужно удалить те файлы, пути к которым вам выдаст Терминал в ответ на все упомянутые выше команды. Но и это не всё. Завершающим аккордом являются следующие команды:

[php]defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
sudo -s[/php]

Потом нужно ввести пароль от аккаунта (вслепую), нажать Enter и продолжать вводить команды:

[php]defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
chmod 644 /Applications/Safari.app/Contents/Info.plist[/php]

Останется лишь перезагрузить компьютер и как можно скорее сменить все ценные для вас пароли.