Como reinstalar o OS X após a infecção por malware

O recente malware Flashback para o OS X causou um pouco de agitação na comunidade Mac e, embora tenha afetado apenas uma fração da base de instalação do OS X, ainda tem pessoas que realmente encontraram o malware em seus sistemas gravando para CNET e nos fóruns de discussão da Apple.

Na maior parte, as pessoas vêm encontrando o malware em seus sistemas instalando um antivírus ou um firewall reverso, como o Little Snitch instalado, e receberam um alerta de que o malware foi encontrado ou um arquivo de programa com um nome abreviado. com um período tentando entrar em contato com servidores remotos por meio de nomes de domínio bizarros, como cuojshtbohnt.com e gangstaparadise.rr.nu.

Essas tentativas claras estimularam a investigação do malware e mostraram que essa atividade é a primeira parte do ataque de malware, em que o malware rompeu o sandbox do Java e o programa está tentando fazer o download da carga útil que será posteriormente armazenada em aplicativos locais, alterando execute variáveis ​​de ambiente dentro do programa ou na conta do usuário.

Até agora, o malware tem sido bem descrito e não é de natureza viral, portanto, para qualquer variante específica, ele é instalado em um único local e executado a partir daí para afetar o sistema. Como resultado, quando uma variante tiver sido caracterizada, você poderá removê-la do sistema seguindo instruções detalhadas. No entanto, o malware pode mudar rapidamente (como o Flashback demonstrou) e porque podem aparecer novas variantes que alteram os modos de tentativa de ataque, pode haver quem não consiga determinar qual variante ele encontrou e duvide de sua capacidade de limpar manualmente o malware seus sistemas.

Nestas situações, existem duas abordagens que você pode seguir. A primeira é obter um scanner de malware respeitável, como VirusBarrier, Sophos ou ClamXav, instalá-lo e atualizá-lo e fazer com que ele verifique o sistema em busca de variantes conhecidas do malware. Ao fazer isso, você pode pelo menos colocar em quarentena os arquivos de malware encontrados.

Essa é uma abordagem recomendada; no entanto, ele se baseia em definições de malware definidas para o malware, que podem estar aquém das descobertas iniciais de malware.

A segunda abordagem é abrir mão da tentativa de gerenciar o malware e executar uma reinstalação do SO. Embora isso garanta que você comece de forma limpa, será um fardo para algumas pessoas, especialmente porque você pode não confiar nos backups do Time Machine ou nos clones do sistema para ficarem livres do malware e, portanto, podem não será capaz de simplesmente restaurar o sistema a partir de um backup.

Se você se lembrar de uma instância exata de quando seu sistema foi afetado pelo malware, como quando você instalou uma atualização recente no Flash que pode ter sido o malware ou quando viu pela primeira vez outros sinais de aviso relacionados ao malware, pode ser capaz de reinstalar usando o backup antes que o problema ocorra; No entanto, em muitos casos, talvez você não consiga identificar com segurança essas instâncias.

Se você decidiu que seria melhor para você jogar com segurança e limpar seu sistema e começar de novo, seguindo este procedimento, você deve ser capaz de fazer isso enquanto preserva seus dados.

  1. Sincronizar e fazer backup

    Primeiro, certifique-se de que seu sistema esteja devidamente sincronizado com seus serviços baseados em nuvem (iCloud, Google, Yahoo, etc.) para garantir que itens como contatos e calendários sejam salvos. Você também pode ir para a Agenda, o iCal e outros programas usados ​​regularmente e exportar os calendários, contatos e outros dados para salvar em uma unidade flash ou outra mídia de armazenamento separada. Tais ações garantirão que você será capaz de restaurar alguns desses itens sem depender de serviços de sincronização para gerenciá-los para você.

    Além de sincronizar, certifique-se de que o backup do seu sistema esteja concluído. Use o Time Machine ou uma ferramenta de clonagem para fazer backup de seus arquivos ou, pelo menos, copie manualmente todas as pastas do seu diretório home para um disco rígido externo e faça isso para todas as contas ativas no sistema fazendo logon em cada uma delas. ações.

    Quando terminar de fazer backup, desmonte e desconecte o disco rígido externo usado para o backup.

  2. Desautorizar ou cancelar o registro de aplicativos Alguns aplicativos comuns, como o iTunes, possuem recursos de autorização e registro para visualizar e gerenciar conteúdo, portanto, certifique-se de autorizar novamente esses recursos antes de continuar, pois você pode ter problemas ao configurar os programas novamente. Por exemplo, o iTunes permite que apenas 5 computadores sejam autorizados para uma conta específica da iTunes Store, portanto você pode desautorizar o computador escolhendo a opção para fazer isso no menu "Loja" para evitar que a loja assuma que você autorizou mais sistemas do que você próprio.
  3. Formatar a unidade

    Reinicialize o sistema no DVD de instalação do OS X para OS X 10.6 ou anterior (segure a tecla C na inicialização com o DVD na unidade óptica) ou reinicialize com as teclas Command-R mantidas para o OS X 10.7. Quando o instalador do OS X carregar, selecione seu idioma e abra o Utilitário de Disco (disponível no menu Utilitários, se não for apresentado em uma janela de Ferramentas).

    No Utilitário de Disco, selecione o volume de inicialização e, em seguida, use a guia Apagar para formatá-lo para "Mac OS X Estendido (diário)". Esse processo deve ser bastante rápido e, quando feito, deve deixá-lo com um disco rígido vazio.

  4. Reinstale o OS X

    Saia do Utilitário de Disco e abra o instalador do OS X. Não escolha nenhuma opção para restaurar a partir do backup. Siga as instruções na tela para selecionar o disco rígido recém-formatado e reinstalar o OS X, e aguarde a conclusão da instalação.

  5. Criar uma nova conta

    Quando o OS X é instalado recentemente, ele perguntará se você deseja migrar dados de um backup ou de outro computador. Evite fazer isso e crie uma nova conta de usuário (você pode usar o mesmo nome de conta e outras informações).

  6. Atualize o sistema

    Quando você fizer login pela primeira vez na sua conta, vá para Atualização de Software (no menu Apple) e atualize o sistema para a versão mais recente. Execute a Atualização de Software várias vezes até que não haja mais atualizações disponíveis.

  7. Desativar Java

    As mais recentes ameaças de malware Flashback visam sistemas com vulnerabilidades Java. Enquanto a Apple parou de distribuir o Java com o OS X Lion, as versões anteriores do OS X o tinham instalado por padrão. Muitas vezes, o Java não é necessário para executar aplicativos no OS X, portanto, a menos que você tenha uma necessidade específica, desative-o. Mesmo se você suspeitar que pode precisar de Java, pode considerar desativá-lo e ativá-lo apenas com base na demanda.

    Há duas maneiras gerais de gerenciar o Java no OS X. O primeiro é através de configurações específicas do aplicativo, como as preferências do Safari, Firefox e outros navegadores da Web, onde é possível localizar configurações para desativar o plug-in Java e o gerenciamento Java ( não desative o JavaScript). Essas configurações garantirão que programas específicos não usem Java e, na maioria das vezes, serão suficientes para impedir que o Java seja aproveitado no sistema; no entanto, se você redefinir o Safari ou instalar um novo navegador da Web, poderá usar o Java inadvertidamente.

    Para evitar usos inadvertidos de Java por programas, você pode abrir o utilitário Preferências de Java na pasta / Applications / Utilities / e desmarcar os tempos de execução de Java listados para desativá-los em todo o sistema. Se, ao abrir as preferências do Java, você receber um aviso sobre a necessidade de instalar o Java, seu sistema não o instalará e você não precisará fazer mais nada.

    Se você precisar de Java instalado e ativo em seu sistema, aplique a atualização de software Java mais recente e considere desativá-la nos navegadores da Web.

  8. Restaurar seus dados do backup

    O próximo passo é copiar seus dados de volta para o seu sistema a partir dos seus backups. Não use a ferramenta Assistente de Migração da Apple para fazer isso, pois ela restaurará as pastas e os aplicativos que podem ter sido alterados pelo malware; em vez disso, copie os arquivos das pastas Documentos, Filmes, Música e outras pastas de diretórios pessoais para seus respectivos locais. conta de usuário.

    O atual malware Flashback afetou o conteúdo da biblioteca do usuário, especialmente a pasta Launch Agents, e você pode restaurar o conteúdo da pasta para a nova Biblioteca de usuários, a fim de preservar algumas configurações e configurações, em prol do cuidado extra dispensado. Com essa abordagem, é melhor deixar essa pasta em branco e restaurar apenas itens individuais somente quando necessário.

    Neste ponto, você pode configurar o iCloud ou outros serviços de sincronização nas preferências do sistema e, em seguida, iniciar o Catálogo de Endereços, o Mail, o iCal e outros programas usados ​​para configurar esses programas e as contas que você usa com eles. Se seus contatos e calendários estiverem faltando, você poderá reimportá-los a partir dos backups manuais criados anteriormente.

    Execute as etapas 6 e 7 para qualquer conta de usuário adicional no sistema criando primeiro a conta, desativando o Java e restaurando os dados da conta a partir do backup.

  9. Reinstalar aplicativos

    O próximo passo depois de restaurar suas contas é reinstalar os aplicativos que você usa. Enquanto seu conjunto anterior de aplicativos foi submetido a backup antes de iniciar este procedimento, evite restaurá-los ou abri-los porque, em um modo de infecção, o malware Flashback altera diretamente alguns desses programas. Em vez disso, use o backup como uma referência para quais aplicativos você tinha anteriormente e reinstale-os a partir de seus discos de instalação, da Mac App Store ou de outros meios pelos quais você os obteve originalmente.

    Quando você tiver instalado seus aplicativos, certifique-se de atualizá-los completamente e, em seguida, abra e configure-os de acordo com suas preferências.

    Neste ponto, o sistema deve estar de volta a um estado utilizável, e você deve poder continuar seu fluxo de trabalho como estava antes de reinstalar. Se você perceber que está faltando algumas fontes, sons ou outros arquivos necessários de que seus aplicativos precisam, poderá acessá-los a partir da pasta global / Library a partir do backup ou na pasta / Library da sua conta de usuário.

O passo final neste processo é proteger-se de novas infecções. Embora a desativação do Java, conforme mencionado acima, seja uma etapa, você pode usar outras para ajudar a proteger seu sistema. Instale um firewall reverso, como o Little Snitch, para ajudar a detectar e bloquear programas de chamadas telefônicas para servidores remotos e considere a instalação de um utilitário antivírus.

Embora não seja necessário configurar a ferramenta antivírus para examinar diligentemente todos os arquivos sob demanda, você pode configurá-la para examinar somente pastas de downloads comuns (como a área de trabalho ou a pasta Downloads da sua conta de usuário) e uma vez por semana ou talvez uma vez por mês, examine todo o sistema. Por enquanto, apesar das últimas notícias de malware, isso deve ser suficiente para afastar o malware e fornecer uma ampla proteção.

ATUALIZADO: 4/8/2012, 12:30 pm - Adicionadas informações sobre a desautorização de aplicativos antes da formatação (graças ao MacFixIt reader Michael N.)


 

Deixe O Seu Comentário