A-A+

檢查你的 Mac 是否感染了 Flashback 木馬

2012年04月11日 Mac, 研究資源 評論 6 條

Mac 電腦感染病毒的事情挺少見的,這也是Mac 和PC 之間爭論的常用論點。不過,近兩年Mac 電腦的市場份額有所上升,這就不可避免地引來了更多攻擊者的興趣。

Flashback 木馬最初是在2007 年出現的,現在它已經在全球感染了60 萬台Mac 電腦。擔心自己是否中招?這裡的方法能夠幫助你對自己的電腦進行診斷。

俄羅斯反病毒公司Dr. Web 昨天宣布Flashback 木馬現在已經在超過55 萬台Mac 電腦上成功植入。幾小時後,Dr. Web 的惡意軟件分析師Sorokin Ivan 就在自己的Twitter 上宣布受感染的Mac 數量已經上升到了60 萬台。其中274 台位於蘋果公司本部所在地加利福尼亞的庫柏蒂諾市。

Flashback 木馬的最新變種的攻擊目標是安裝了舊版本Java 運行時的Mac 電腦。蘋果在本週早些時候已經推送了更新,但是對於有些用戶來說可能為時已晚。

Ars Technica 對木馬的攻擊方式進行了一些解釋:

和老版本的惡意軟件一樣,Flashback 的最新版變種會在受感染的電腦中搜索數款殺毒軟件,然後開始建立殭屍網絡的控制服務器列表,並啟動用於簽入這些服務器的進程。現在Java 漏洞的更新已經發布,不更新的話可就說不過去了。惡意軟件會在你瀏覽某些被篡改或者本身帶有攻擊性的網頁時感染Mac 電腦,所以只要你上網,你就是潛在的受害者。

要檢查自己的Mac 是否感染了木馬,請打開終端應用(應用程序– 實用工​​具– 終端.app),並執行下邊的命令:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

如果返回的信息是“The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”,那麼請接著執行下邊的命令:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

如果返回的信息是“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”,那麼你的電腦是安全的,沒有中招。簡單理解的話,只要看到“does not exist”信息就說明沒有問題。

==========

FlashbackChecker:一鍵式Flashback木馬查毒工具

下 載、解壓、點擊“Check for Flashback Infection”(檢查Flashback 感染情況),完成後如果出現“No Signs of infection were found”(沒有發現被感染跡象)的話就說明你的Mac 是安全的;如果出現“Potential Issue found”(找到潛在問題)的提示,就代表你的Mac 已經被感染了,建議根據F-Secure 的查毒指南排查並清除Flashback 木馬。

最後還是要提醒沒有收到感染的Mac 用戶將Java for OS X 更新到最新版本以防止該木馬的進一步變種感染。

FlashbackChecker Github 頁面 || 直接下載=

 

標籤: