Sea como fuere, acaba de publicarse una pequeña herramienta (38KB) para comprobar si un equipo Mac ha sido infectado por Flashback. Se llama Flashback Checker (descarga) y ha sido liberada por el desarrollador Juan León de Garmin International, simplificando enormemente el proceso de detección:

1.- Ejecuta el siguiente comando en el Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2.- Toma nota del valor DYLD_INSERT_LIBRARIES
3.- Salta al paso 8 si obtienes el siguiente mensaje de error:
"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
4.- De lo contrario, ejecuta el siguiente comando en el Terminal:
grep -a -o '__ldpath__[ -~]*' %ruta_obtenida_en_el_paso_2%
5.- Toma nota del valor después de "__ldpath__"
6.- Ejecuta los siguientes comandos en el Terminal:
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
7.- Borra los ficheros obtenidos durante los pasos 2 y 5
8.- Ejecuta el siguiente comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9.- Observa el resultado. Tu sistema estará ya limpio si se obtiene un resultado como el siguiente:
"The domain/default pair of (/Users/usuario/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
10.- De lo contrario, ejecuta el siguiente comando en el Terminal:
grep -a -o '__ldpath__[ -~]*' %ruta_obtenida_en_el_paso_9%
11.-Toma nota del valor después de "__ldpath__"
12.- Ejecuta los siguientes comandos en el Terminal:.
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
13.- Finalmente, borra los ficheros obtenidos durante los pasos 9 y 11
14.- (Para variante K) Ejecuta el siguiente comando en el Terminal:
ls -lA ~/Library/LaunchAgents/
15.- Apunta el nombre del fichero.
16.- Ejecuta el siguiente comando en el Terminal:
defaults read ~/Library/LaunchAgents/%nombre_del_fichero_obtenido_en_el_paso_15% ProgramArguments
17.- Toma nota del nombre de la ruta. Si el fichero no empieza por ".", el sistema podría no estar infectado por esta varianete.
18.- Borra los ficheros obtenidos durante los pasos 15 y 17.
0 comentarios :
Publicar un comentario