Mein Mac OSX Snow Leopard wurde von der Flashback-Malware ausgenutzt. Es gibt eine Zusammenfassung von F-Secure , der ich zu folgen versuche, um sie zu entfernen. Dieser Link ist ähnlich und bietet etwas mehr Details.
Der erste Schritt besteht darin, Folgendes einzugeben:
bash-3.2$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
{
"DYLD_INSERT_LIBRARIES" = "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl";
}
Dies zeigt die Malware. Der nächste Schritt besteht darin, Folgendes zu tun:
bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite: No such file or directory
grep: 022@.xsl: No such file or directory
Wie Sie sehen können, hat mich der Dateipfad .NeroLite \022@.xsl
und die Kombination aus Leerzeichen und umgekehrtem Schrägstrich verwirrt, und das System kann die Datei nicht finden. Jemand, wie ich diese Datei finden kann? Was \022@
versucht er zu tun? Wie schließe ich den nächsten Schritt ab?
AKTUALISIEREN1
Ich habe folgendes versucht:
bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite\ \\022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory
bash-3.2$ grep -a -o '__ldpath__[ -~]*' "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl"
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory
bash-3.2$ ls /Applications/Safari.app/Contents/Resources/.Nero*
ls: /Applications/Safari.app/Contents/Resources/.Nero*: No such file or directory
bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*
grep: /Applications/Safari.app/Contents/Resources/.NeroLit*: No such file or directory
AKTUALISIEREN2
Folgende Befehle habe ich ausgeführt:
# sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
# sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
# defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-01 21:42:40.706 defaults[891:903]
The domain/default pair of (/Users/myuser/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
Was gut ist, laut dem ersten Link oben.
DANN STARTE ICH DAS SYSTEM NEU. Wenn ich dann jedoch versuche, Safari zu starten, startet es nicht, sondern gibt mir stattdessen den gleichen alten Fehler:
Safari cannot be opened because of a problem.
Process: Safari [882]
Path: /Applications/Safari.app/Contents/MacOS/Safari
Identifier: com.apple.Safari
Version: ??? (???)
Build Info: WebBrowser-75345503~2
Code Type: X86-64 (Native)
Parent Process: launchd [110]
Date/Time: 2012-04-01 21:41:24.286 -0700
OS Version: Mac OS X 10.6.8 (10K549)
Report Version: 6
Interval Since Last Report: 501264 sec
Crashes Since Last Report: 11
Per-App Crashes Since Last Report: 11
Anonymous UUID: <removed>
Exception Type: EXC_BREAKPOINT (SIGTRAP)
Exception Codes: 0x0000000000000002, 0x0000000000000000
Crashed Thread: 0
Dyld Error Message:
could not load inserted library: /Applications/Safari.app/Contents/Resources/.NeroLite @.xsl
Binary Images:
0x7fff5fc00000 - 0x7fff5fc3bdef dyld 132.1 (???) <removed> /usr/lib/dyld
<...lists installed hardware...>
Der sicherste Weg, um sicherzustellen, dass Live-Malware entfernt wird, besteht darin, von externen Medien (neu) zu booten und dann das Betriebssystem und alle Ihre Apps und ausführbaren Dateien neu zu installieren.
Verwenden Sie einfach Sternchen anstelle dieser verdächtigen Kombination:
grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*
Aktualisieren:
Ihre Safari wurde beschädigt, Sie sollten wahrscheinlich versuchen, sie neu zu installieren . Noch bessere Lösung:
Installieren Sie eines von:
Führen Sie einen vollständigen Systemscan durch (um sicherzustellen, dass keine Spuren von Malware mehr vorhanden sind)
Eventuell alle Daten sichern und OSX neu installieren
Installieren Sie Antivirus auf einem sauberen Betriebssystem. Verwenden Sie niemals das Benutzerkonto „Admin“ als primäres Konto.
Vertrauen Sie anderen Websites nicht, dass sie Ihnen bei der Installation von Flash Player oder anderen Plugins helfen. Installieren Sie Plugins (wie Adobe Flash) immer selbst, indem Sie deren offizielle Seiten besuchen ( in diesem Fall http://get.adobe.com/flashplayer/ ).
Deaktivieren Sie die folgende Einstellung in Safari (aus einigen Artikeln mit Sicherheitshinweisen):
Alex Bolotow
gkk
ls -al /Applications/Safari.app/Contents/Resources/.N*
da stehtno such file or directory.
Alex Bolotow
gkk
Graham Perrin