Detectando y eliminando el troyano Flashback de Mac

Poco más podemos decir acerca del revuelo que ha causado Flashback, que viene a desmontar el falso mito de que los ordenadores de Apple son invulnerables al malware (aunque realmente el troyano se aproveche de una vulnerabilidad de un componente de java).

Sea como fuere, acaba de publicarse una pequeña herramienta (38KB) para comprobar si un equipo Mac ha sido infectado por Flashback. Se llama Flashback Checker (descarga) y ha sido liberada por el desarrollador Juan León de Garmin International, simplificando enormemente el proceso de detección:

Como veis, en el equipo de prueba no hay evidencias de infección. Pero, si nuestro equipo fuera uno de los "agraciados", podríamos seguir las siguientes instrucciones para eliminar las variantes I y K (clasificadas según F-Secure):

1.- Ejecuta el siguiente comando en el Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment

2.- Toma nota del valor DYLD_INSERT_LIBRARIES


3.- Salta al paso 8 si obtienes el siguiente mensaje de error:

"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"

4.- De lo contrario, ejecuta el siguiente comando en el Terminal:
grep -a -o '__ldpath__[ -~]*' %ruta_obtenida_en_el_paso_2%

5.- Toma nota del valor después de "__ldpath__"

6.- Ejecuta los siguientes comandos en el Terminal:

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

7.- Borra los ficheros obtenidos durante los pasos 2 y 5

8.- Ejecuta el siguiente comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

9.- Observa el resultado. Tu sistema estará ya limpio si se obtiene un resultado como el siguiente:

"The domain/default pair of (/Users/usuario/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

10.- De lo contrario, ejecuta el siguiente comando en el Terminal:

grep -a -o '__ldpath__[ -~]*' %ruta_obtenida_en_el_paso_9%

11.-Toma nota del valor después de "__ldpath__"

12.- Ejecuta los siguientes comandos en el Terminal:
.
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES

13.- Finalmente, borra los ficheros obtenidos durante los pasos 9 y 11

14.- (Para variante K) Ejecuta el siguiente comando en el Terminal:
ls -lA ~/Library/LaunchAgents/

15.- Apunta el nombre del fichero.

16.- Ejecuta el siguiente comando en el Terminal:

defaults read ~/Library/LaunchAgents/%nombre_del_fichero_obtenido_en_el_paso_15% ProgramArguments

17.- Toma nota del nombre de la ruta. Si el fichero no empieza por ".", el sistema podría no estar infectado por esta varianete.


18.- Borra los ficheros obtenidos durante los pasos 15 y 17.

Comentarios