Flashback-Malware auf Snow Leopard

Mein Mac OSX Snow Leopard wurde von der Flashback-Malware ausgenutzt. Es gibt eine Zusammenfassung von F-Secure , der ich zu folgen versuche, um sie zu entfernen. Dieser Link ist ähnlich und bietet etwas mehr Details.

Der erste Schritt besteht darin, Folgendes einzugeben:

bash-3.2$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
{
 "DYLD_INSERT_LIBRARIES" = "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl";
}

Dies zeigt die Malware. Der nächste Schritt besteht darin, Folgendes zu tun:

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite: No such file or directory
grep: 022@.xsl: No such file or directory

Wie Sie sehen können, hat mich der Dateipfad .NeroLite \022@.xslund die Kombination aus Leerzeichen und umgekehrtem Schrägstrich verwirrt, und das System kann die Datei nicht finden. Jemand, wie ich diese Datei finden kann? Was \022@versucht er zu tun? Wie schließe ich den nächsten Schritt ab?

AKTUALISIEREN1

Ich habe folgendes versucht:

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite\ \\022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl"
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory

bash-3.2$ ls /Applications/Safari.app/Contents/Resources/.Nero*
ls: /Applications/Safari.app/Contents/Resources/.Nero*: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*
grep: /Applications/Safari.app/Contents/Resources/.NeroLit*: No such file or directory

AKTUALISIEREN2

Folgende Befehle habe ich ausgeführt:

# sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment 
# sudo chmod 644 /Applications/Safari.app/Contents/Info.plist 
# defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-01 21:42:40.706 defaults[891:903] 
The domain/default pair of (/Users/myuser/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Was gut ist, laut dem ersten Link oben.

DANN STARTE ICH DAS SYSTEM NEU. Wenn ich dann jedoch versuche, Safari zu starten, startet es nicht, sondern gibt mir stattdessen den gleichen alten Fehler:

Safari cannot be opened because of a problem.

Process:         Safari [882]
Path:            /Applications/Safari.app/Contents/MacOS/Safari
Identifier:      com.apple.Safari
Version:         ??? (???)
Build Info:      WebBrowser-75345503~2
Code Type:       X86-64 (Native)
Parent Process:  launchd [110]

Date/Time:       2012-04-01 21:41:24.286 -0700
OS Version:      Mac OS X 10.6.8 (10K549)
Report Version:  6

Interval Since Last Report:          501264 sec
Crashes Since Last Report:           11
Per-App Crashes Since Last Report:   11
Anonymous UUID:                      <removed>

Exception Type:  EXC_BREAKPOINT (SIGTRAP)
Exception Codes: 0x0000000000000002, 0x0000000000000000
Crashed Thread:  0

Dyld Error Message:
  could not load inserted library: /Applications/Safari.app/Contents/Resources/.NeroLite @.xsl

Binary Images:
0x7fff5fc00000 -     0x7fff5fc3bdef  dyld 132.1 (???) <removed> /usr/lib/dyld

<...lists installed hardware...>
könnten Sie bitte die Ausgabe anzeigen von: "ls -al /Applications/Safari.app/Contents/Resources/" (Eingabe ohne ")
Ich kann nicht. Es gibt Hunderte und Aberhunderte von Dateien. Allerdings werden keine mit einem Punkt davor angezeigt (vielleicht versteckt der Mac diese Dateien?). Wenn ich tippe: ls -al /Applications/Safari.app/Contents/Resources/.N*da stehtno such file or directory.
versuchen Sie "Standardwerte lesen ~/.MacOSX/environment DYLD_INSERT_LIBRARIES"
Ich habe dies oben in UPDATE2 eingefügt.
Neuere Ist mein Mac mit dem Flashback-Trojaner infiziert? hat eine akzeptierte Antwort. Wenn Sie nach Antworten wie diesen feststellen, dass Ihr System entweder beschädigt oder möglicherweise infiziert ist, sollte ich eine Neuinstallation des Systems empfehlen .

Antworten (2)

Der sicherste Weg, um sicherzustellen, dass Live-Malware entfernt wird, besteht darin, von externen Medien (neu) zu booten und dann das Betriebssystem und alle Ihre Apps und ausführbaren Dateien neu zu installieren.

Verwenden Sie einfach Sternchen anstelle dieser verdächtigen Kombination:

grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*

Aktualisieren:

Ihre Safari wurde beschädigt, Sie sollten wahrscheinlich versuchen, sie neu zu installieren . Noch bessere Lösung:

  1. Installieren Sie eines von:

  2. Führen Sie einen vollständigen Systemscan durch (um sicherzustellen, dass keine Spuren von Malware mehr vorhanden sind)

  3. Eventuell alle Daten sichern und OSX neu installieren

  4. Installieren Sie Antivirus auf einem sauberen Betriebssystem. Verwenden Sie niemals das Benutzerkonto „Admin“ als primäres Konto.

  5. Vertrauen Sie anderen Websites nicht, dass sie Ihnen bei der Installation von Flash Player oder anderen Plugins helfen. Installieren Sie Plugins (wie Adobe Flash) immer selbst, indem Sie deren offizielle Seiten besuchen ( in diesem Fall http://get.adobe.com/flashplayer/ ).

  6. Deaktivieren Sie die folgende Einstellung in Safari (aus einigen Artikeln mit Sicherheitshinweisen):

Safari sichern

Im Allgemeinen ist es keine gute Idee, einen Platzhalter vorzuschlagen, wenn die Absicht darin besteht, mit einer bestimmten Datei umzugehen.
Ich habe Ergebnisse zum UPDATE-Abschnitt oben hinzugefügt.
Ich habe mit ClamXav einen vollständigen Festplattenscan durchgeführt, und es wurde nichts Schlechtes gefunden. Vielleicht probiere ich ein anderes Produkt aus...
Cocktail kann auch nach bekannter Malware suchen ( maintain.se/cocktail )
Flashback-Malware auf Snow Leopard
AntwortenHierDatenschutz-Bestimmungen1y, 0v