Cómo saber si estamos infectados por Flashback y cómo eliminarlo [Actualizado]

Cómo saber si estamos infectados por Flashback y cómo eliminarlo [Actualizado]
Facebook Twitter Flipboard E-mail

Ayer comentábamos en esta entrada que Flashback, un troyano que se aprovechaba de una vulnerabilidad de Java, había infectado muchísimos ordenadores (600.000) Mac. Para evitar que pudiera producirse dicho problema había salido un parche de seguridad para Java que también comentamos ayer. En los comentarios escribí más información acerca de cómo saber si nuestro Mac estaba afectado por Flashback y cómo solucionarlo, pero creo que es mejor aclararlo en una entrada adicional. También al final de la entrada veremos qué es lo que hace Flashback y qué pasos sigue.

Tras el salto vemos qué pasos hay que dar tanto para su detección como para eliminar el dichoso troyano, así como su funcionamiento.

  • 1. Ejecutar el siguiente comando en el Terminal:
  • defaults read /Applications/Safari.app/Contents/Info LSEnvironment
    

  • 2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES
  • <li><strong>3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8:
    
    &#8220;The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist&#8221;</strong></li>
    

  • 4. En caso contrario, ejecutar el siguiente comando en el Terminal:
  • grep -a -o &#8216;<i>ldpath</i>[ -~]*&#8217; <span>path_obtained_in_step2</span>
    

  • 5. Nos fijamos en el valor siguiente a “ldpath

  • <li><strong>  6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):</strong></li>
    
    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
    
    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
    

  • 7. Borramos los archivos que hemos obtenido en los pasos 2 y 5

  • <li> <strong>8. Ejecutamos el siguiente comando en el Terminal:</strong>
    

    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    

  • 9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.
  • &#8220;The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist&#8221;
    

  • 10. De lo contrario, ejecutamos el comando siguiente en el Terminal:

  • grep -a -o &#8216;<i>ldpath</i>[ -~]*&#8217; <span>path_obtained_in_step9</span>
    

  • 11. Nos fijamos en el valor que sigue a “ldpath
  • 12. Ejecutamos las órdenes siguientes en el Terminal:
  • defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    
    launchctl unsetenv DYLD_INSERT_LIBRARIES
    

  • 13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.
  • Un vistazo a…
    Las MEJORES Keynotes de Apple de la HISTORIA

    ¿Cómo funciona Flashback?

    En la página de F-Secure anteriormente mencionada también podemos ver más información acerca de cómo actua Flashback. Cómo todos los troyanos, lo primero que hace es intentar conseguir permisos de administrador, para lo cual nos pedirá nuestro usuario y contraseña de administrador. Si se lo damos el malware hace una serie de comprobaciones en nuestro sistema para instalarse. Su objetivo, modificar el contenido de algunas páginas web en nuestro navegador. De esta forma, podría por ejemplo redirigirnos a una página parecida y mostrar la información para conseguir nuestro usuario y contraseña en determinados sitios.

    ¿Tu usuario y password por favor? Sólo vengo a hacer el mal

    Lo gracioso del caso es que si tenemos determinados programas instalados en nuestro Mac, el malware simplemente se borra y desaparece sin dejar rastro. Es el caso de Little Snitch, XCode, y algunos paquetes de antivirus. Si lo logra, se lo comunicará a esta url: h t t p ://95.215.63.38/stat_d/ y, en caso contrario, a esta otra: h t t p ://95.215.63.38/stat_n/

    Si no le damos nuestra contraseña de usuario, hace algunas comprobaciones más, como ver si tenemos instalado Word, Office 2008, Office 2011 o Skype, debe ser porque son incompatibles de alguna forma con los pasos que hará a continuación, que es intentar infectar los archivos binarios y comunicar su éxito a esta dirección web: h t t p : / / 95.215.63.38/stat_u/.

    Si habéis hecho los pasos anteriores y vuestro Mac no ha sido afectado, recordad que tenéis que instalar la actualización de seguridad o bien actualizar Java para evitar que ocurra.

    Actualización: Podéis descargar una pequeña aplicación que nos indica si estamos infectado de forma rápida, sin necesidad de recurrir al Terminal. El enlace de descarga a FlashbackChecker

    En Applesfera | Flashback, un troyano que afecta a 600.000 Mac en todo el mundo

    Comentarios cerrados
    Inicio