Articles Comments

ordenadores.com » Portátiles Apple, Sistemas Operativos, Sobremesas Apple, Virus » Cómo detectar y eliminar a Flashback, el troyano para Mac.

Cómo detectar y eliminar a Flashback, el troyano para Mac.

Apple se había preciado de tener un sistema operativo “a prueba de virus”, debido a su diseño y su entonces, poca participación en el mercado. Pues “Flashback”,  que es la más nueva amenaza para los ordenadores de la manzana, ha llegado para cambiarles todo el escenario.

Pero la más reciente mosca en el pastel para Apple, no ha sido la primera. Ya anteriormente, los medios especializados informaban sobre MacDefender, un supuesto antivirus que según él, protegía el ordenador contra ‘troyanos, virus y malware’, los cuales sólo existían en la mente del usuario, quien tras instalar la aplicación, veía con estupor pantallas y pantallas de alertas y una supuesta actividad, de un software que no hacía absolutamente nada. Pero todo esto sirvió como globo de ensayo para la gestación una amenaza real, quizás la primera de muchas, que cambiaría el panorama para los ordenadores Mac.

Flashback

Flashback es un malware que utiliza el método del Caballo de Troya para infiltrarse en el ordenador. Inicialmente se camuflaba como una actualización de Flash Player (Adobe) y luego de forma automática, aprovechando un fallo en la implementación de Java. Los factores que contribuyeron a la propagación del troyano son dos:

– Desde hace algún tiempo, Apple no incluye el Adobe Flash Player con sus ordenadores, lo que hacía que los usuarios tuvieran que descargalo manualmente.

– Apple trae su propia implementación de Java en las Mac, por lo que las correcciones de Java dadas por Oracle, tardan mucho más en llegar a las Mac.

¿Cómo Detectarlo?

Puedes hacerlo en esta web o bien ejecutando estos 3 comandos en la aplicación Terminal (Está dentro del menú de Utilidades):

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si el resultado tiene algo que ver con las palabras “does not exist.” , entonces respiremos tranquilos. En caso de salir otra cosa, como la ruta de un archivo, entonces estamos infectados.

¿Cómo Eliminarlo?

El proceso es un tanto largo, pero si seguimos todo al pie de la letra, estaremos bien.

1) Abrir el Terminal y ejecutar los comandos que utilizamos durante la detección:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Tomemos nota de la ruta completa de archivo que aparezca (puede ser que esté unida al término “DYLD_INSERT_LIBRARIES”). Para cada uno de los comandos que tengan como resultado una ruta de archivo (y que no digan “the domain pair does not exist”), copiemos la ruta completa del archivo y ejecutemos este comando con la ruta de archivo en vez de la palabra RUTA en el comando (puedes hacer un copiar y pegar de esto):

grep -a -o ‘__ldpath__[ -~]*’ RUTA

2) Ubicamos los archivos que salen tras ejecutar el comando líneas arriba, y los borramos. Si lo de arriba es mucho lío, entonces podemos borrar los archivos uno a uno escribiendo: “sudo rm ” y copiamos/pegamos la ruta al final del comando. Algo así:

Eliminación de los archivos del troyano

Eliminando los archivos del troyano.

Cuando hayamos borrado todos las las referencias de archivos que salieron tras ejecutar el comando “defaults” líneas arriba, entonces ya eliminamos los archivos del troyano, mas aún debemos eliminar otros archivos (aplicaciones y de información de cuenta). Para hacerlo ejecutamos lo siguiente:
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist 
sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
3) En el Finder, vamos al menú Ir y seleccionamos Library, y luego abrimos la carpeta LauchAgents, donde veremos un archivo con un nombre parecido a  “com.java.update.plist.” Luego, ejecuta el siguiente comando en el Terminal (Nota: No olvidemos cambiar el nombre de   “com.java.update” en el comando para reflejar el nombre del archivo antes del sufijo .plist, como por ejemplo “com.adobe.reader” , si es que tenemos este archivo):
defaults read ~/Library/LaunchAgents/com.java.update ProgramArguments
Cuando terminemos con el comando, presionamos ENTER y tomamos nota de la ruta de archivo que salga en la ventana del Terminal. Y tal como lo hicimos antes, ubicamos este archivo en el Finder y lo borramos, pero si no nos funciona, podemos ejecutar (también en el terminal) “sudo rm” seguido por un espacio en blanco y de ahí copiamos/pegamos la ruta del archivo que nos salió en el comando anterior y presionamos ENTER.
4) Para borrar aquellos archivos ocultos con extensión .so que encontramos antes, podemos eliminarlos ejecutando el siguiente comando en el Terminal (para mejores resultados copiar y pegar este comando, no deben haber espacios en blanco en el último componente que contiene los símbolos y las marcas de puntuación:
sudo rm ~/../Shared/.*.so
Después de completar este paso, borramos el archivo llamado “com.java.update.plist” (o “com.adobe.reader.plist”). y…
¡Listo, ya hemos terminado!

Written by

Filed under: Portátiles Apple, Sistemas Operativos, Sobremesas Apple, Virus · Tags: ,

Comments are closed.