En el blog de F-Secure han realizado un detallado análisis del funcionamiento de las infecciones del troyano OSX/FlashBack para Mac OS X, para dar a los usuarios y especialistas más información sobre cómo poder detectar y eliminar las principales variantes que se han descubierto del mismo.
Detección de FlashBack Trojan en Mac OS X
Hoy el día, el malware infecta los equipos de dos formas principalmente. La primera de ellas haciendo uso de privilegios administrativos con la que modifica un fichero plist de Firefox y Safari para añadir una variable llamada DYLD_INSERT_LIBRARIES que lanza el malware cuando esas aplicaciones se ejecutan. Para saber si tienes esta variante en tu equipo debes ejecutar estos comandos en tu sistema. Si la respuesta es que no existe, entonces no tienes esta variante en tu Mac OS X.
defaults read /Applications/Safari.app/Contents/Info DYLD_INSERT_LIBRARIES
defaults read /Applications/Firefox.app/Contents/Info DYLD_INSERT_LIBRARIES
En segundo lugar, hay una forma de infección más global del sistema en la que se modifica, con la misma variable, un fichero plist del sistema que hará que se ejecute el malware en cuanto se ejecute cualquier aplicación. Este tipo de infección se lanza con la cuenta de usuario, sin hacer uso de privilegios administrativos. Para saber si tienes esta infección en tu equipo, el comando que debes ejecutar, y obtener una respuesta que diga que no existe esa entrada, es:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Si tienes el malware en tu equipo, desde F-Secure están pidiendo que les envies las muestras de los ficheros enlazados en las respuestas. Puedes enviar también las muestras a Virus Total para ayudar a toda la industria antimalware. Además, se han dado unas pautas a seguir para eliminar este malware.
Desinfección de FlashBack Trojan en Mac OS X
En el caso de la primera infección, se deben usar estos comandos:
sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironmentsudo chmod 644 /Applications/%browser%.app/Contents/Info.plist
Y en el caso de la segunda infección, deben usarse:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIESlaunchctl unsetenv DYLD_INSERT_LIBRARIES
Por último, queremos recordarte que esta solución es solo para las muestras analizadas, y que es posible que este malware vuelva a mutar en el futuro. Además, muchos antimalware para Mac OS X reconocen ya estas muestras, por lo que te recomendamos tener una solución instalada con protección en tiempo real que te ayude a proteger el equipo y a limpiarlo en caso de infección.
No hay comentarios:
Publicar un comentario