Malware flashback su Snow Leopard

4

Il mio Mac OSX Snow Leopard è stato sfruttato dal malware Flashback. C'è un riepilogo di F-Secure che sto cercando di seguire per rimuovere esso. Questo link è simile e fornisce ulteriori dettagli.

Il primo passaggio consiste nel digitare quanto segue:

bash-3.2$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
{
 "DYLD_INSERT_LIBRARIES" = "/Applications/Safari.app/Contents/Resources/.NeroLite [email protected]";
}

Questo mostra il malware. Il prossimo passo è quello di fare quanto segue:

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite [email protected]
grep: /Applications/Safari.app/Contents/Resources/.NeroLite: No such file or directory
grep: [email protected]: No such file or directory

Come puoi vedere il percorso del file include .NeroLite [email protected] e la combinazione barra rovesciata dello spazio mi ha confuso e il sistema non riesce a trovare il file. Qualcuno come posso individuare questo file? Che cosa sta cercando di fare 2@ ? Come completare il prossimo passo?

Update1

Ho provato quanto segue:

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite\ \[email protected]
grep: /Applications/Safari.app/Contents/Resources/.NeroLite [email protected]: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' "/Applications/Safari.app/Contents/Resources/.NeroLite [email protected]"
grep: /Applications/Safari.app/Contents/Resources/.NeroLite [email protected]: No such file or directory

bash-3.2$ ls /Applications/Safari.app/Contents/Resources/.Nero*
ls: /Applications/Safari.app/Contents/Resources/.Nero*: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*
grep: /Applications/Safari.app/Contents/Resources/.NeroLit*: No such file or directory

UPDATE2

Ho eseguito i seguenti comandi:

# sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment 
# sudo chmod 644 /Applications/Safari.app/Contents/Info.plist 
# defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-01 21:42:40.706 defaults[891:903] 
The domain/default pair of (/Users/myuser/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Che è buono, secondo il primo link sopra.

POI RIAVVIATO IL SISTEMA. Tuttavia, quando cerco di avviare Safari, non verrà avviato, ma mi darà lo stesso vecchio errore:

Safari cannot be opened because of a problem.

Process:         Safari [882]
Path:            /Applications/Safari.app/Contents/MacOS/Safari
Identifier:      com.apple.Safari
Version:         ??? (???)
Build Info:      WebBrowser-75345503~2
Code Type:       X86-64 (Native)
Parent Process:  launchd [110]

Date/Time:       2012-04-01 21:41:24.286 -0700
OS Version:      Mac OS X 10.6.8 (10K549)
Report Version:  6

Interval Since Last Report:          501264 sec
Crashes Since Last Report:           11
Per-App Crashes Since Last Report:   11
Anonymous UUID:                      <removed>

Exception Type:  EXC_BREAKPOINT (SIGTRAP)
Exception Codes: 0x0000000000000002, 0x0000000000000000
Crashed Thread:  0

Dyld Error Message:
  could not load inserted library: /Applications/Safari.app/Contents/Resources/.NeroLite @.xsl

Binary Images:
0x7fff5fc00000 -     0x7fff5fc3bdef  dyld 132.1 (???) <removed> /usr/lib/dyld

<...lists installed hardware...>
    
posta gkk 02.04.2012 - 06:01
fonte

2 risposte

2

Il modo più sicuro per rimuovere malware dal vivo è (re) eseguire l'avvio da un supporto esterno e quindi reinstallare il sistema operativo e tutte le applicazioni e i file eseguibili.

    
risposta data 02.04.2012 - 08:51
fonte
0

Usa semplicemente l'asterisco invece di tutta quella combinazione sospetta:

grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*

Aggiornamento:

Il tuo safari è stato danneggiato probabilmente dovresti provare a reinstallarlo . Soluzione ancora migliore:

  1. installa uno di:

  2. Esegui la scansione completa del sistema (per assicurarti che non rimangano tracce di malware)

  3. Forse salva tutti i dati e reinstalla OSX

  4. Installa antivirus su SO pulito. Non utilizzare mai l'account utente "Amministratore" come account principale.

  5. Non fidarti di altri siti che ti aiuteranno a installare Flash Player o qualsiasi altro plugin. Installa sempre plug-in (come Adobe Flash) da visitando i loro siti ufficiali da solo ( link in questo caso ).

  6. Deseleziona le seguenti impostazioni in Safari (da alcuni articoli di consulenza sulla sicurezza):

    
risposta data 02.04.2012 - 06:29
fonte

Leggi altre domande sui tag