Como remover o malware Flashback do OS X

Embora o OS X tenha sido relativamente desprovido de malware nos primeiros 10 anos de uso, surgiram recentemente ameaças de malware que afetaram um número significativo de sistemas Mac.

Um dos primeiros foi o falso esquema de antivírus do MacDefender, que fazia com que as pessoas emitissem informações de cartão de crédito com medo de que seus sistemas fossem infectados. Esse golpe se transformou muito rapidamente, pois tentava evitar a detecção e continuar coagindo as pessoas a oferecer informações pessoais. Outra fraude foi o malware DNSChanger, que afetou milhões de sistemas de PC em todo o mundo e que, por fim, direcionou os sistemas afetados a sites mal-intencionados e, como o malware MacDefender, tentou levar as pessoas a oferecer informações pessoais.

O malware mais recente a atingir o OS X tem sido o golpe Flashback, que inicialmente começou como um falso aplicativo de instalação do Flash Player que era relativamente fácil de evitar. No entanto, a ameaça transformou-se rapidamente em uma ameaça mais séria, tirando vantagem de falhas de segurança não corrigidas no Java (que a Apple já tratou) para instalar em um Mac rodando Java simplesmente visitando uma página da Web maliciosa e não exigindo atenção do usuário. Até agora, estima-se que tenha infectado mais de 600.000 sistemas Mac em todo o mundo, com a maioria nos EUA e no Canadá.

Como funciona?

O malware Flashback injeta código em aplicativos (especificamente navegadores da Web) que serão executados quando são executados e, em seguida, enviam capturas de tela e outras informações pessoais para servidores remotos.

Primeiro passo: explorando Java

Quando você encontrar a página da Web mal-intencionada que contém o malware e tiver uma versão não corrigida do Java em execução no sistema, ele primeiro executará um pequeno miniaplicativo Java que, quando executado, violará a segurança do Java e gravará um pequeno programa de instalação na conta do usuário. O programa é chamado algo como .jupdate, .mkeeper, .flserv, .null ou .rserv, e o período em frente a ele faz com que pareça oculto na visualização padrão do Finder.

Além disso, o applet Java gravará um arquivo de inicialização denominado "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" ou até mesmo "null.plist" para a pasta ~ / Library / LaunchAgents / do usuário atual, que lançará continuamente o programa .jupdate sempre que o usuário estiver logado.

Para evitar a detecção, o instalador procurará primeiro a presença de algumas ferramentas antivírus e outros utilitários que possam estar presentes no sistema de um usuário avançado, que, de acordo com a F-Secure, incluem o seguinte:

/ Biblioteca / Pequeno Pomo

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Aplicativos / VirusBarrier X6.app

/Aplicativos/iAntiVirus/iAntiVirus.app

/Aplicativos/avast!.app

/Aplicativos/ClamXav.app

/Aplicativos/HTTPScoop.app

/ Aplicativos / Pacote Peeper.app

Se essas ferramentas forem encontradas, o malware será excluído em uma tentativa de impedir a detecção por quem tiver os meios e a capacidade de fazer isso. Muitos programas de malware usam esse comportamento, como foi visto em outros, como o bot de malware do Tsunami.

Segunda etapa: fazendo o download da carga útil

Quando o programa jupdate é executado, ele se conectará a um servidor remoto e baixará um programa de carga útil, que é o malware, e que consiste em dois componentes. A primeira é a parte principal do malware que realiza a captura e o upload de informações pessoais, e a segunda é um componente de filtro usado para impedir que o malware seja executado, a menos que programas específicos, como navegadores da Web, estejam sendo usados.

Terceiro passo: infecção

Depois que o malware e o filtro são baixados, o malware é executado para infectar o sistema. É aqui que os usuários verão um alerta sobre uma atualização de software e serão solicitados a fornecer suas senhas. Infelizmente, neste ponto, não há nada que impeça a infecção e se uma senha é fornecida ou não apenas altera o modo de infecção.

A raiz da rotina de infecção é baseada nos arquivos de configuração de sequestro no OS X que são lidos e executados quando os programas são executados. Uma delas é chamada de "Info.plist", localizada na pasta "Contents" de cada pacote de aplicativos do OS X, e é lida sempre que um programa específico é aberto. O segundo é chamado de "environment.plist" e está localizado dentro da conta de usuário em uma pasta oculta (~ / .MacOSX / environment.plist), que pode ser usada para iniciar parâmetros sempre que algum programa for aberto pelo usuário.

O primeiro modo de infecção é se uma senha for fornecida; nesse caso, o malware altera os arquivos Info.plist no Safari e no Firefox para executar o malware sempre que esses programas forem abertos. Este é o modo de infecção preferido pelo malware, mas se uma senha não for fornecida, o malware recorre ao segundo modo de infecção, onde altera o arquivo "environment.plist".

Ao usar o arquivo environment.plist, o malware será executado sempre que qualquer aplicativo for aberto, e isso levará a falhas e outros comportamentos estranhos que podem causar alarme ao usuário, para que o malware use seu componente de filtro para ser executado somente quando determinados aplicativos são lançados, como Safari, Firefox, Skype e até instalações do Office.

De qualquer forma, uma vez baixado, o malware infectará o sistema usando uma dessas abordagens e será executado sempre que aplicativos de destino, como navegadores da Web, forem usados. Nas variantes mais recentes do malware, quando instalado usando o arquivo "environment.plist", ele verifica o sistema para garantir a instalação completa de programas como o Office ou o Skype, e pode se excluir se esses programas não forem completa ou adequadamente instalado. A F-Secure especula que esta é uma tentativa de impedir a detecção precoce do malware.

Como faço para detectar isso?

Detectar o malware é bastante fácil e requer que você simplesmente abra o aplicativo Terminal na pasta / Applications / Utilities / e execute os seguintes comandos:

padrões de leitura ~ / .MacOSX / ambiente DYLD_INSERT_LIBRARIES

padrões lidos /Applications/Safari.app/Contents/Info LSEnvironment

padrões lidos /Applications/Firefox.app/Contents/Info LSEnvironment

Esses comandos lerão o arquivo "Info.plist" de alguns aplicativos de destino e o arquivo "environment.plist" na conta do usuário e determinarão se a variável usada pelo malware para se lançar (chamada "DYLD_INSERT_LIBRARIES") está presente. Se a variável não estiver presente, então esses três comandos do Terminal mostrarão que o par padrão "não existe", mas se estiverem presentes, esses comandos exibirão um caminho que aponta para o arquivo de malware, que você deve ver no Terminal janela.

Além dos comandos acima, você pode verificar a presença de arquivos .so invisíveis que variantes anteriores do malware criam no diretório de usuários Compartilhados executando o seguinte comando no Terminal:

ls -la ~ /../ Compartilhado /.*.

Depois de executar este comando, se você vir uma saída de "nenhum tal arquivo ou diretório", não terá esses arquivos no diretório compartilhado do usuário; no entanto, se eles estiverem presentes, você os verá listados.

Como faço para removê-lo?

Se, depois de executar os três primeiros comandos de detecção, você descobrir que seu sistema contém os arquivos modificados e suspeitar que ele tenha o malware instalado, você poderá removê-lo usando as instruções de remoção manual da F-Secure. Estas instruções são um pouco detalhadas, mas se você as seguir exatamente, então você deve ser capaz de livrar o sistema da infecção:

  1. Abra o Terminal e execute os seguintes comandos (o mesmo acima):

    padrões lidos /Applications/Safari.app/Contents/Info LSEnvironment

    padrões lidos /Applications/Firefox.app/Contents/Info LSEnvironment

    padrões de leitura ~ / .MacOSX / ambiente DYLD_INSERT_LIBRARIES

    Quando esses comandos forem executados, anote o caminho completo do arquivo que é enviado para a janela do terminal (pode ser emparelhado com o termo "DYLD_INSERT_LIBRARIES"). Para cada um dos comandos que produzem um caminho de arquivo (e não diga que o par de domínio não existe), copie a seção completa do caminho do arquivo e execute o seguinte comando com o caminho do arquivo no lugar de FILEPATH no comando (copiar e colar este comando):

    grep -a -o '__ldpath __ [- ~] *' FILEPATH

  2. Localize os arquivos mencionados na saída dos comandos acima e exclua-os. Se você não conseguir localizá-los no Finder, então, para cada primeiro tipo "sudo rm" no terminal seguido por um único espaço, use o cursor do mouse para selecionar o caminho completo do arquivo e use Command-C. seguido pelo Command-V para copiá-lo e colá-lo de volta no Terminal. Em seguida, pressione Enter para executar o comando e remova esse arquivo.

    Veja a seguinte imagem para um exemplo de como isso deve ser:

  3. Quando tiver excluído todas as referências de arquivos pelos comandos "defaults" acima, você terá removido os arquivos de malware, mas ainda precisará redefinir os aplicativos alterados e os arquivos de conta, para fazer isso, execute os seguintes comandos:

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Aplicativos/Safari.app/Contents/Info.plist

    sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment

    sudo chmod 644 /Aplicativos/Firefox.app/Contents/Info.plist

    padrões excluir ~ / .MacOSX / ambiente DYLD_INSERT_LIBRARIES

    launchctl unsetenv DYLD_INSERT_LIBRARIES

  4. No Finder, acesse o menu Ir e selecione Biblioteca (mantenha pressionada a tecla Opção no Lion para revelar essa opção no menu) e abra a pasta LaunchAgents, onde você verá um arquivo com o nome "com.java.update" .plist. " Em seguida, digite o seguinte comando no Terminal (Nota: altere o nome de "com.java.update" no comando para refletir o nome do arquivo antes de seu sufixo .plist, como "com.adobe.reader" se você tem esse arquivo):

    os padrões lêem ~ / Library / LaunchAgents / com.java.update ProgramArguments

    Quando este comando estiver concluído, pressione Enter e observe o caminho do arquivo que foi enviado para a janela do Terminal.

    Como você fez anteriormente, localize este arquivo no Finder e exclua-o, mas se não puder, digite "sudo rm" seguido de um único espaço, copie e cole o caminho do arquivo de saída no comando e pressione Enter.

  5. Para remover quaisquer arquivos .so encontrados anteriormente, você pode removê-los executando o seguinte comando no Terminal (não se esqueça de copiar e colar este comando, pois não deve haver absolutamente nenhum espaço no último componente que contenha os símbolos e sinais de pontuação ):

    sudo rm ~ /../ Compartilhado /.*. so

    Depois que esta etapa for concluída, remova o arquivo chamado "com.java.update.plist" (ou "com.adobe.reader.plist" e você deve estar pronto.

ATUALIZADO: 4/5/2012, 22:00 - Adicionadas instruções de detecção e remoção de arquivos .so ocultos usados ​​pelas variantes anteriores do malware.


 

Deixe O Seu Comentário