วิธีลบมัลแวร์ Flashback ออกจาก OS X

ในขณะที่ OS X ค่อนข้างว่างเปล่าจากมัลแวร์ในช่วง 10 ปีแรกที่ใช้งาน แต่เมื่อไม่นานมานี้ Scares มัลแวร์ก็ถูกตัดทอนลงซึ่งส่งผลกระทบต่อระบบ Mac เป็นจำนวนมาก

หนึ่งในคนแรกคือการหลอกลวงโปรแกรมป้องกันไวรัสปลอม MacDefender ซึ่งมีคนออกข้อมูลบัตรเครดิตด้วยความกลัวระบบของพวกเขาติดเชื้อ การหลอกลวงนี้ปรับเปลี่ยนค่อนข้างเร็วเนื่องจากพยายามหลีกเลี่ยงการตรวจจับและบังคับให้ผู้คนให้ข้อมูลส่วนตัวต่อไป การหลอกลวงอีกอย่างคือมัลแวร์ DNSChanger ที่ส่งผลกระทบต่อระบบคอมพิวเตอร์หลายล้านเครื่องทั่วโลกและในที่สุดก็นำระบบที่ได้รับผลกระทบไปยังเว็บไซต์ที่เป็นอันตรายและเช่นเดียวกับมัลแวร์ MacDefender ที่พยายามให้ผู้คนเสนอ

มัลแวร์ตัวล่าสุดที่ใช้งานบน OS X นั้นเป็นการหลอกลวง Flashback ซึ่งในตอนแรกเริ่มเป็นแอพพลิเคชั่นตัวติดตั้ง Flash Player ปลอมซึ่งค่อนข้างง่ายต่อการหลีกเลี่ยง อย่างไรก็ตามภัยคุกคามได้เปลี่ยนไปเป็นภัยคุกคามที่ร้ายแรงยิ่งขึ้นอย่างรวดเร็วโดยการใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่ไม่ได้เปรียบเทียบใน Java (ซึ่ง Apple ได้ระบุไว้แล้ว) เพื่อติดตั้งบน Mac ที่รันจาวาโดยเพียงไปที่เว็บเพจที่เป็นอันตราย จนถึงขณะนี้มีการประเมินว่ามีการติดเชื้อระบบ Mac มากกว่า 600, 000 เครื่องทั่วโลกโดยส่วนใหญ่ในสหรัฐอเมริกาและแคนาดา

มันทำงานยังไง?

มัลแวร์ Flashback จะแทรกรหัสลงในแอปพลิเคชั่น (โดยเฉพาะเว็บเบราว์เซอร์) ที่จะถูกเรียกใช้เมื่อพวกเขาทำงานแล้วส่งภาพหน้าจอและข้อมูลส่วนตัวอื่น ๆ ไปยังเซิร์ฟเวอร์ระยะไกล

ขั้นตอนแรก: ใช้ประโยชน์จาก Java

เมื่อคุณพบเว็บเพจที่เป็นอันตรายซึ่งมีมัลแวร์และมีจาวารุ่นที่ยังไม่ได้ทำการรันบนระบบของคุณก่อนจะรันแอปเพล็ต Java ขนาดเล็กที่เมื่อเรียกใช้จะทำลายความปลอดภัยของ Java และเขียนโปรแกรมติดตั้งขนาดเล็กลงในบัญชีผู้ใช้ โปรแกรมมีชื่อบางอย่างเช่น. jupdate, .mkeeper, .flserv, .null หรือ. rserv และระยะเวลาที่อยู่ด้านหน้ามันทำให้มันปรากฏขึ้นที่ซ่อนอยู่ในมุมมอง Finder เริ่มต้น

นอกจากนี้ Java applet จะเขียนไฟล์ตัวเรียกชื่อ "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" หรือแม้แต่ "null.plist" ไปยังผู้ใช้ปัจจุบัน ~ / Library / LaunchAgents / โฟลเดอร์ซึ่งจะเปิดใช้งานโปรแกรม. jupdate อย่างต่อเนื่องทุกครั้งที่ผู้ใช้เข้าสู่ระบบ

เพื่อหลีกเลี่ยงการตรวจจับโปรแกรมติดตั้งจะค้นหาเครื่องมือป้องกันไวรัสและยูทิลิตี้อื่น ๆ ที่อาจมีอยู่ในระบบของผู้ใช้พลังงานซึ่งตาม F-Secure จะรวมถึงสิ่งต่อไปนี้:

/ Library / Little Snitch

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Applications / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Applications / Packet Peeper.app

หากพบเครื่องมือเหล่านี้มัลแวร์จะลบตัวเองเพื่อป้องกันการตรวจจับโดยผู้ที่มีวิธีการและความสามารถในการทำเช่นนั้น โปรแกรมมัลแวร์จำนวนมากใช้พฤติกรรมนี้ตามที่เห็นในโปรแกรมอื่น ๆ เช่นบอทมัลแวร์สึนามิ

ขั้นตอนที่สอง: การดาวน์โหลดส่วนของข้อมูล

เมื่อโปรแกรม jupdate ทำงานมันจะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลและดาวน์โหลดโปรแกรม payload ที่เป็นมัลแวร์และประกอบด้วยองค์ประกอบสองส่วน อันแรกคือส่วนหลักของมัลแวร์ที่ทำการดักจับและอัปโหลดข้อมูลส่วนบุคคลและอันที่สองคือส่วนประกอบตัวกรองที่ใช้เพื่อป้องกันมัลแวร์ไม่ให้ทำงานเว้นแต่ว่ามีการใช้งานโปรแกรมเฉพาะเช่นเว็บเบราว์เซอร์

ขั้นตอนที่สาม: การติดเชื้อ

เมื่อดาวน์โหลดมัลแวร์และตัวกรองแล้วมัลแวร์จะถูกเรียกใช้เพื่อติดเชื้อในระบบ นี่คือที่ผู้ใช้จะเห็นการแจ้งเตือนเกี่ยวกับการปรับปรุงซอฟต์แวร์และจะได้รับแจ้งให้ระบุรหัสผ่าน น่าเสียดายที่ ณ จุดนี้ไม่มีอะไรจะหยุดการติดเชื้อและรหัสผ่านจะถูกส่งหรือไม่เท่านั้นเปลี่ยนโหมดของการติดเชื้อ

รูทของรูทีนการติดไวรัสนั้นมาจากการตั้งค่าไฟล์การจี้ใน OS X ที่อ่านและดำเนินการเมื่อโปรแกรมทำงาน หนึ่งในนั้นเรียกว่า "Info.plist" ซึ่งอยู่ในโฟลเดอร์ "เนื้อหา" ภายในแต่ละแพ็คเกจแอปพลิเคชัน OS X และจะอ่านเมื่อใดก็ตามที่มีการเปิดโปรแกรมเฉพาะ ที่สองเรียกว่า "environment.plist" และตั้งอยู่ภายในบัญชีผู้ใช้ในโฟลเดอร์ที่ซ่อนอยู่ (~ / .MacOSX / environment.plist) ซึ่งสามารถใช้เพื่อเรียกใช้พารามิเตอร์เมื่อใดก็ตามที่โปรแกรมถูกเปิดโดยผู้ใช้

โหมดแรกของการติดไวรัสคือถ้ามีการให้รหัสผ่านซึ่งในกรณีนี้มัลแวร์จะทำการเปลี่ยนแปลงไฟล์ Info.plist ใน Safari และ Firefox เพื่อเรียกใช้มัลแวร์ทุกครั้งที่เปิดโปรแกรมเหล่านี้ นี่เป็นโหมดการติดเชื้อที่มัลแวร์ต้องการ แต่หากไม่ได้ระบุรหัสผ่านมัลแวร์จะกลับสู่โหมดที่สองของการติดเชื้อซึ่งจะทำการเปลี่ยนไฟล์ "environment.plist"

เมื่อใช้ไฟล์ environment.plist มัลแวร์จะทำงานทุกครั้งที่มีการเปิดแอปพลิเคชันและสิ่งนี้จะนำไปสู่การล่มและพฤติกรรมแปลก ๆ ที่อาจทำให้เกิดการเตือนภัยแก่ผู้ใช้ดังนั้นมัลแวร์จึงใช้องค์ประกอบตัวกรอง เปิดตัวเช่น Safari, Firefox, Skype และแม้กระทั่งการติดตั้ง Office

ไม่ว่าจะด้วยวิธีใดก็ตามเมื่อดาวน์โหลดมัลแวร์แล้วจะทำให้ระบบติดเชื้อโดยใช้หนึ่งในวิธีการเหล่านี้และจะทำงานทุกครั้งที่มีการใช้งานแอปพลิเคชันเป้าหมายเช่นเว็บเบราว์เซอร์ ในรุ่นล่าสุดของมัลแวร์เมื่อติดตั้งโดยใช้ไฟล์ "environment.plist" จะทำการตรวจสอบระบบเพิ่มเติมเพื่อให้แน่ใจว่ามีการติดตั้งโปรแกรมเช่น Office หรือ Skype อย่างสมบูรณ์และอาจลบตัวเองหากโปรแกรมเหล่านี้ไม่สมบูรณ์หรือเหมาะสม การติดตั้ง F-Secure คาดเดาสิ่งนี้เป็นความพยายามในการป้องกันการตรวจจับมัลแวร์ก่อน

ฉันจะตรวจสอบได้อย่างไร

การตรวจจับมัลแวร์นั้นค่อนข้างง่ายและคุณต้องเปิดแอปพลิเคชั่น Terminal ในโฟลเดอร์ / Applications / Utilities / และเรียกใช้คำสั่งต่อไปนี้:

ค่าเริ่มต้นอ่าน ~ / .MacOSX / สภาพแวดล้อม DYLD_INSERT_LIBRARIES

ค่าเริ่มต้นอ่าน /Applications/Safari.app/Contents/Info LSEnvironment

ค่าเริ่มต้นอ่าน /Applications/Firefox.app/Contents/Info LSEnvironment

คำสั่งเหล่านี้จะอ่านไฟล์ "Info.plist" ของแอปพลิเคชันเป้าหมายบางตัวและไฟล์ "environment.plist" ในบัญชีผู้ใช้และตรวจสอบว่าตัวแปรที่มัลแวร์ใช้เพื่อเปิดตัว (เรียกว่า "DYLD_INSERT_LIBRARIES") อยู่หรือไม่ หากไม่มีตัวแปรคำสั่งเทอร์มินัลทั้งสามนี้จะแสดงว่าคู่เริ่มต้น "ไม่มีอยู่" แต่ถ้ามีคำสั่งเหล่านี้จะแสดงเส้นทางที่ชี้ไปยังไฟล์มัลแวร์ซึ่งคุณควรเห็นในเทอร์มินัล หน้าต่าง.

นอกเหนือจากคำสั่งข้างต้นคุณสามารถตรวจสอบว่ามีไฟล์. so ที่มองไม่เห็นที่ผ่านมาของมัลแวร์ที่สร้างในไดเรกทอรีผู้ใช้ที่ใช้ร่วมกันโดยการเรียกใช้คำสั่งต่อไปนี้ในเทอร์มินัล:

ls -la ~ /../ Shared /.*. ดังนั้น

หลังจากเรียกใช้คำสั่งนี้หากคุณเห็นผลลัพธ์ของ "ไม่มีไฟล์หรือไดเรกทอรีดังกล่าว" คุณจะไม่มีไฟล์เหล่านี้ในไดเรกทอรีที่ใช้ร่วมกันของผู้ใช้ของคุณ อย่างไรก็ตามหากมีอยู่คุณจะเห็นรายการอยู่ในรายการ

ฉันจะลบออกได้อย่างไร

หากหลังจากเรียกใช้คำสั่งตรวจหาสามคำสั่งแรกคุณพบว่าระบบของคุณมีไฟล์ที่แก้ไขและคุณสงสัยว่ามีมัลแวร์ติดตั้งอยู่คุณสามารถลบได้โดยใช้คำแนะนำในการลบด้วยตนเองของ F-Secure คำแนะนำเหล่านี้ค่อนข้างลึก แต่ถ้าคุณทำตามนั้นคุณควรกำจัดระบบของการติดเชื้อ:

  1. เปิด Terminal และเรียกใช้คำสั่งต่อไปนี้ (เหมือนข้างบน):

    ค่าเริ่มต้นอ่าน /Applications/Safari.app/Contents/Info LSEnvironment

    ค่าเริ่มต้นอ่าน /Applications/Firefox.app/Contents/Info LSEnvironment

    ค่าเริ่มต้นอ่าน ~ / .MacOSX / สภาพแวดล้อม DYLD_INSERT_LIBRARIES

    เมื่อคำสั่งเหล่านี้ทำงานให้จดบันทึกพา ธ ไฟล์แบบเต็มที่ส่งออกไปยังหน้าต่างเทอร์มินัล (อาจจับคู่กับคำว่า "DYLD_INSERT_LIBRARIES") สำหรับคำสั่งแต่ละคำสั่งที่ส่งออกไฟล์พา ธ (และไม่ได้บอกว่าไม่มีโดเมนคู่) ให้คัดลอกส่วนพา ธ ไฟล์แบบเต็มและเรียกใช้คำสั่งต่อไปนี้พร้อมกับพา ธ ไฟล์แทน FILEPATH ในคำสั่ง (คัดลอกและวาง คำสั่งนี้):

    grep -a -o '__ldpath __ [- ~] *' FILEPATH

  2. ค้นหาไฟล์ที่กล่าวถึงในผลลัพธ์ของคำสั่งข้างต้นและลบออก หากคุณไม่สามารถหาตำแหน่งเหล่านั้นใน Finder ได้สำหรับประเภทแรก "sudo rm" ในเทอร์มินัลตามด้วยช่องว่างเดียวจากนั้นใช้เคอร์เซอร์เมาส์เพื่อเลือกพา ธ ไฟล์แบบเต็มจากเอาต์พุตของคำสั่งแรกและใช้ Command-C ตามด้วย Command-V เพื่อคัดลอกและวางกลับเข้าไปใน Terminal จากนั้นกด Enter เพื่อดำเนินการคำสั่งและลบไฟล์นี้

    ดูภาพหน้าจอต่อไปนี้สำหรับตัวอย่างของลักษณะนี้:

  3. เมื่อคุณลบการอ้างอิงไฟล์ทั้งหมดโดยคำสั่ง "ค่าเริ่มต้น" จากนั้นคุณลบไฟล์มัลแวร์ แต่คุณยังต้องรีเซ็ตแอปพลิเคชั่นและไฟล์บัญชีที่มีการเปลี่ยนแปลงดังนั้นเมื่อต้องการดำเนินการตามคำสั่งต่อไปนี้:

    sudo ค่าเริ่มต้นลบ /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

    sudo ค่าเริ่มต้นลบ /Applications/Firefox.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

    ค่าเริ่มต้นลบ ~ / .MacOSX / สภาพแวดล้อม DYLD_INSERT_LIBRARIES

    launchctl unsetenv DYLD_INSERT_LIBRARIES

  4. ใน Finder ให้ไปที่เมนูไปและเลือกห้องสมุด (กดปุ่มตัวเลือกใน Lion เพื่อเปิดเผยตัวเลือกนี้ในเมนู) จากนั้นเปิดโฟลเดอร์ LaunchAgents ที่คุณควรเห็นไฟล์ชื่ออย่าง "com.java.update" .plist." จากนั้นพิมพ์คำสั่งต่อไปนี้ลงในเทอร์มินัล (หมายเหตุ: เปลี่ยนชื่อของ "com.java.update" ในคำสั่งเพื่อแสดงชื่อของไฟล์ก่อนส่วนต่อท้าย .plist เช่น "com.adobe.reader" หากคุณ มีไฟล์นั้น):

    ค่าเริ่มต้นอ่าน ~ / Library / LaunchAgents / com.java.update ProgramArguments

    เมื่อคำสั่งนี้เสร็จสมบูรณ์ให้กด Enter แล้วจดเส้นทางของไฟล์ที่ได้รับการส่งออกไปยังหน้าต่าง Terminal

    ตามที่คุณทำก่อนหน้านี้ค้นหาไฟล์นี้ใน Finder และลบ แต่ถ้าคุณไม่สามารถทำได้ให้พิมพ์ "sudo rm" ตามด้วยช่องว่างเดียวแล้วคัดลอกและวางเส้นทางไฟล์เอาต์พุตลงในคำสั่งแล้วกด Enter

  5. ในการลบไฟล์. so ใด ๆ ที่ซ่อนไว้ก่อนหน้านี้คุณสามารถลบออกได้โดยการรันคำสั่งต่อไปนี้ใน Terminal (ให้แน่ใจว่าได้คัดลอกและวางคำสั่งนี้เนื่องจากไม่ควรมีช่องว่างในองค์ประกอบสุดท้าย ):

    sudo rm ~ /../ Shared /.* ดังนั้น

    หลังจากขั้นตอนนี้เสร็จสมบูรณ์ให้ลบไฟล์ชื่อ "com.java.update.plist" (หรือ "com.adobe.reader.plist" และคุณควรจะไป

อัปเดต: 4/5/2012, 22:00 น. - เพิ่มคำแนะนำในการตรวจจับและลบไฟล์. so ที่ซ่อนซึ่งใช้งานโดยมัลแวร์รุ่นก่อนหน้า


 

แสดงความคิดเห็นของคุณ