Разработчики антивируса Dr. Web на этой неделе здорово подпортили настроение Apple и сообществу маководов собственной информационной сводкой, в которой сообщалось, что количество Маков, заражённых троянским вирусом Flashback.I, перевалило уже за 550000.

Мы не писали об этом по одной причине: нет совершенно никакого смысла в том, чтобы объявлять пользователям «Вы знаете, что ваш Мак может быть заражён трояном?!» и не рассказать при этом, как можно проверить, заражён ли он и как поступить в этом случае.

Сейчас, когда есть исчерпывающая информация по обнаружению и лечению вируса Flashback.I, мы публикуем подробную инструкцию.

Итак, самое главное — тест на заражение. Ваша задача состоит в том, чтобы запустить Терминал и ввести команды (после каждой нужно нажимать Enter/Return):

[php]defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES[/php]

В итоге вы должны увидеть следующие сообщения:

Если вместо сообщений «The domain … does not exist» вы увидите что-либо ещё, самое время заволноваться. Пути к вирусным объектам — это значения переменной DYLD_INSERT_LIBRARIES. Затем надо будет вбить ещё две команды:

[php]grep -a -o ‘__ldpath__[ -~]*’ %PATH1%
grep -a -o ‘__ldpath__[ -~]*’ %PATH2%[/php]

PATH1 вы заменяете на путь, который вам выдаст первая по счёту команда из данной статьи (defaults read /Applications/Safari.app/Contents/Info LSEnvironment), PATH2 — на путь, что выдаст вторая команда (defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES). Нужно обратить внимание на то, что будет следовать после __ldpath__ — это тоже будут пути к заражённым файлам.

Затем делом нужно удалить те файлы, пути к которым вам выдаст Терминал в ответ на все упомянутые выше команды. Но и это не всё. Завершающим аккордом являются следующие команды:

[php]defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
sudo -s[/php]

Потом нужно ввести пароль от аккаунта (вслепую), нажать Enter и продолжать вводить команды:

[php]defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
chmod 644 /Applications/Safari.app/Contents/Info.plist[/php]

Останется лишь перезагрузить компьютер и как можно скорее сменить все ценные для вас пароли.

Поделитесь страницей через социальные сети

  • ska2html

    у меня все ок =)
    Паника доктора веба вплоне логична, ведь если запугать юзеров мака, то можно вполне без всяких усилий продвинуть свой антивирус (который маку не нужен)  и пометь денюжки.

    • Буль-буль

      да, конечно, не нужен. Подумаешь, пароли украли, софт ставится без ведома пользователя … мелочь какая …
      фанатики, такие фанатики …

      • Умпутн

        софт без ведома пользователя не ставился. читали бы хоть не между строк.
         тролли такие тролли

        • Буль-буль

          http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

          Infection Type 2
          In cases where the user did not input their administrator password …

          и далее по тексту. Если это не без ведома пользователя (когда пользователь отказался от ввода админ пароля, что подтверждает установку), то …

          • Умпутн

            ну вообще-то оно инфецировало софт который уже стоит, поэтому и был список incompatible applications которые бы стали падать и тем самым могли бы вызвать подозорения пользователя. Там все это написано, вы просто прочитайте внимательно. 
            К сожалению, да, есть дыра в ява которая может привести к такому.
            Причем тут МакОс? Дырка не в Мак, а в ява. У кого ява не стоит, тот не пострадал.
            Впрочем вся эта истерия подтвержадет и без того известную вещь, что unix система не такое решето, как Windows.  
            Скажем иначе, обычный пользователь макос защищен намного лучше, чем просто пользователь Windows.

  • Валерий

    Респект администраторам Appstudio!

    Вы лучший ресурс сети!!!

  • Кирилл

    Я чист, спасибо за инструкцию!)

  • VadOSX

    Чист! СПС!

  • antgame

    Большое спасибо. Проверил – все чисто!

  • Alex

    Браво! Спасибо

  • jambu

    После второго запроса система выдает «…No such file or directory», а не «does not exist».
    Стоит волноваться?

    • http://appstudio.org AppStudio

      вряд ли)

      • jambu

        Спасибо

  • gringo24

    Все нормально, спасибо!

  • Юрий

    чисто