Screen Shot 2012 04 07 at 12 10 30 PM Snapseed

Backdoor.Flashback.39, más conocido como Flashback, es uno de los peligros más grandes que hemos visto los usuarios de la Mac, debido a la gran propagación que ha tenido. El agujero de seguridad, que le da la posibilidad a Flashback de convertir a nuestra Mac en un “bot” para un “Botnet” (una red de computadoras utilizadas por otras entidades en ataques a websites), es un presente en Java de Oracle, no en Mac OS.

Y desde Lion, Java ya no se encuentra presente en la Mac.

Aún así, si tienen, por algún motivo, Java instalado, podrían estar infectados. Hoy, veremos cómo diagnosticar nuestra Mac, limpiarla, y actualizarla para cerrar este agujero de seguridad.

 

 

Paso 1: Identificar a Backdoor.Flashback.39

Modo 1:

Este es un modo de revisión local. Para ello abrimos Terminal (desde spotlight, escribimos terminal)

2012 04 07 12 08 58

Una vez aquí, copiamos cada una de estas líneas individualmente, presionando Enter tras copiar una:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment


Si Terminal nos devuelve texto como:

The domain/default pair of (/Users/arturo/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist

 

 

 

 

Significa que no estamos aún infectados.

Screen Shot 2012 04 07 at 12 10 30 PM

 

Modo 2:

Screen Shot 2012 04 07 at 12 03 45 PM

Para estar completamente seguros, podemos usar la herramienta de Dr. Web, la firma rusa que ha estado monitoreando el crecimiento de Flashback. Básicamente ponemos el captcha, y luego nuestro Hardware UUID (desde el Menú Manzana / Mas información / Reporte de Sistema / Hardware y copiamos el número que aparece bajo Hardware UUID).

Lo que hará este servicio, es revisar, en su base de datos, si hemos sido infectados por el Backdoor.Flashback.39; es decir, si nuestra Mac pertenece al Botnet. Si aparece que no hay “información de la infección”, significa que probablemente, no estemos infectados. Y esta información, en conjunto con la del modo 1, significa que estamos libres de malware, y no tenemos que seguir el paso 2, pasándonos al paso 3.

 

De lo contrario, si recibieron resultados positivos en el Modo 1 y Modo 2, entonces significa que es hora de limpiar nuestra Mac.

Paso 2: Limpiar la Mac

El proceso de limpieza es algo extenso, pero si lo siguen paso a paso, eliminarán a Flashback. Y una vez hecho esto, podremos actualizar para evitar que suceda en el futuro. Estas instrucciones provienen de F-Secure:

  • 1. Ejecutar, en el Terminal

    defaults read /Applications/Safari.app/Contents/Info LSEnvironment

  • 2. Tomar nota de los valores, DYLD_INSERT_LIBRARIES
  • 3. Proceder al paso 8 si obtuvieron lo siguiente:

    “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”

  • 4. De lo contrario, ejecutar lo siguiente en Terminal (copiar, pegar y Enter): 

    grep -a -o ‘__ldpath__[ -~]*’ %camino_obtenido_en_paso2%

  • 5. Tomar nota del valor después de  “__ldpath__”
  • 6. Ejecutar el siguiente comando en el Terminal (pero primero asegurarse que haya una sola entrada, la del paso 2): 

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

  • 7. Eliminar todos los archivos obtenidos en el paso 2 y 5:
  • 8. Ejecutar en  Terminal: 

    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

  • 9. Tomar nota de los resultados. Si su sistema ya está limpio, obtendrán: 

    “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”

  • 10. De lo contrario, ejecutar: 

    grep -a -o ‘__ldpath__[ -~]*’ %camino_obtenido_en_paso9%

  • 11. Tomar nota del valor después de  “__ldpath__”
  • 12. Ejecutar en Terminal: 

    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

    launchctl unsetenv DYLD_INSERT_LIBRARIES

  • 13. Finalmente, eliminar los archivos obtenidos en los pasos 9 y 11.
  • 14. Ejecutar en Terminal: 

    ls -lA ~/Library/LaunchAgents/

  • 15. Tomar nota del archivo. Proceder sólo cuando haya un archivo. De lo contrario, contactar con el servicio de F-Secure.
  • 16. Ejecutar el siguiente comando en Terminal: 

    defaults read ~/Library/LaunchAgents/%filename_obtained_in_step15% ProgramArguments

  • 17. Tomar nota del camino. Si el archivo no empieza con un “.”, entonces podrían no estar infectados con esta variante
  • 18. Eliminar los archivos obtenidos en los pasos 15 y 17.

 

Paso 3: Actualizar la Mac

Screen Shot 2012 04 07 at 12 26 23 PM Snapseed

Una vez eliminado el virus, o si nunca lo tuvieron, es hora de proceder al Menú / Software Update (Actualización de Sistema), y descargar Java fo OS X 2012-002, que finalmente pone cierre a este agujero de seguridad.

 

  • Rafael

    Arturo se supone que sabes bien sobre estos temas pero dices Virus en Mac OSX siendo esto un simple troyano. Para infectarte tendrías que darle permisos de administrador para que puede realizar algo, esto solo podría pasar si estas despistado o si no tienes apenas cuidado de las ventanas que se abren y te piden ingresar la contraseña de administrador.
    PD: la mejor forma de no infectarse es siendo avispados y no dandole clic en “Acepto” en cada mensaje que nos aparece, y mucho menos escribiendo la contraseña sin saber por que salió ese cuadro de dialogo.

    Saludos.

    • KlamaTown

      ¿Pero que no los troyanos son una clasificación de los virus?

      Al menos eso lo se desde hace años cuando era niño y empezaba a ver el mundo de las computadoras.

    • Lo peligroso de este virus / trojan es que no requiere permisos de administrador; por eso ha sido el que más se ha propagado a la fecha. Flashback solicita el permiso de administrador, pero aquí es donde actúa de dos maneras: si ingresamos la contraseña, irá a cierta carpeta. Si cerramos la ventana de la contraseña, infectará igual, en otras carpetas.

  • Ivan

    no lo creo, el trojano requiere gente despistada, por lo tanto no cualquiera se infecta, estoy de acuerdo con Rafael.

  • Jaime

    Arturo sabes de algun antivirus bueno para las mac … creo que seria bueno prevenir, si ya salio un trojano asi pueden salir muchos mas …