4 votes

gkk avatar

Malware Flashback sur Snow Leopard

Demandé el 2 de Avril, 2012
Quand la question a-t-elle été
855 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon Mac OSX Snow Leopard a été exploité par le malware Flashback. Il y a un résumé par F-Secure que j'essaie de suivre pour l'enlever. Ce lien est similaire et fournit un peu plus de détails.

La première étape consiste à taper ce qui suit :

bash-3.2$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
{
 "DYLD_INSERT_LIBRARIES" = "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl";
}

Ceci montre le logiciel malveillant. L'étape suivante consiste à faire ce qui suit :

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite: No such file or directory
grep: 022@.xsl: No such file or directory

Comme vous pouvez le voir, le chemin du fichier comprend .NeroLite \022@.xsl et la combinaison espace / barre oblique inversée m'a embrouillé, et le système ne trouve pas le fichier. Quelqu'un peut-il me dire comment localiser ce fichier ? Quel est le \022@ à faire ? Comment réaliser l'étape suivante ?

UPDATE1

J'ai essayé ce qui suit :

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite\ \\022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl"
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory

bash-3.2$ ls /Applications/Safari.app/Contents/Resources/.Nero*
ls: /Applications/Safari.app/Contents/Resources/.Nero*: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*
grep: /Applications/Safari.app/Contents/Resources/.NeroLit*: No such file or directory

UPDATE2

J'ai exécuté les commandes suivantes :

# sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment 
# sudo chmod 644 /Applications/Safari.app/Contents/Info.plist 
# defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-01 21:42:40.706 defaults[891:903] 
The domain/default pair of (/Users/myuser/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Ce qui est bien, selon le premier lien ci-dessus.

PUIS J'AI REDÉMARRÉ LE SYSTÈME. Cependant, lorsque j'essaie de lancer Safari, il ne démarre pas, mais me donne la même erreur :

Safari cannot be opened because of a problem.

Process:         Safari [882]
Path:            /Applications/Safari.app/Contents/MacOS/Safari
Identifier:      com.apple.Safari
Version:         ??? (???)
Build Info:      WebBrowser-75345503~2
Code Type:       X86-64 (Native)
Parent Process:  launchd [110]

Date/Time:       2012-04-01 21:41:24.286 -0700
OS Version:      Mac OS X 10.6.8 (10K549)
Report Version:  6

Interval Since Last Report:          501264 sec
Crashes Since Last Report:           11
Per-App Crashes Since Last Report:   11
Anonymous UUID:                      <removed>

Exception Type:  EXC_BREAKPOINT (SIGTRAP)
Exception Codes: 0x0000000000000002, 0x0000000000000000
Crashed Thread:  0

Dyld Error Message:
  could not load inserted library: /Applications/Safari.app/Contents/Resources/.NeroLite @.xsl

Binary Images:
0x7fff5fc00000 -     0x7fff5fc3bdef  dyld 132.1 (???) <removed> /usr/lib/dyld

<...lists installed hardware...>
Demandé el 2 de Avril, 2012 par gkk

Réponses

Trop de publicités?

2voto

Jason Sparks avatar
Jason Sparks Points 948

Le moyen le plus sûr de garantir la suppression des logiciels malveillants actifs est de (re)démarrer à partir d'un support externe, puis de réinstaller le système d'exploitation et toutes vos applications et exécutables.

Répondu el 2 de Avril, 2012 par Jason Sparks (948 Points )

0voto

Zachary Garrett avatar
Zachary Garrett Points 221

Utilisez simplement l'astérisque au lieu de toutes ces combinaisons suspectes :

grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*

Mise à jour :

Votre safari a été corrompu vous devriez probablement essayer de le réinstaller . Une solution encore meilleure :

  1. installer l'un d'entre eux :

  2. Effectuez une analyse complète du système (pour vous assurer qu'il ne reste aucune trace de logiciel malveillant).

  3. Peut-être sauvegarder toutes les données et réinstaller OSX

  4. Installez un antivirus sur un système d'exploitation propre. N'utilisez jamais le compte d'utilisateur 'Admin' comme compte principal.

  5. Ne faites pas confiance aux autres sites qui vous aideront à installer Flash Player ou tout autre plugin. Installez toujours les plugins (comme Adobe Flash) par en visitant vous-même leurs sites officiels ( http://get.adobe.com/flashplayer/ dans ce cas).

  6. Décochez le paramètre suivant dans Safari (tiré de certains articles d'avis de sécurité) :

Securing Safari

Répondu el 2 de Avril, 2012 par Zachary Garrett (221 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X