1. まとめトップ

あるロシアのアンチウイルス企業によると、50万台以上の「Macintosh(Mac)」が「Flashback」と呼ばれるトロイの木馬に感染しているという。

トロイの木馬 Flashbackとは?

個人情報を盗むことを目的とするマルウェアパッケージ
*マルウェアとは悪意(Malicious)を持ったsoftwareの略

簡単1分チェック

記事よりやり方抜粋

第1のタイプの感染
以下のコマンドをターミナルで実行します。
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
実行して以下のエラーメッセージが出た場合はそのPCは感染していません。
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist

第2のタイプの感染
以下のコマンドをターミナルで実行します。
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
実行して以下のようなエラーメッセージが表示されたら、そのMacは感染していません。
The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Flashbackを除去する

上記のコマンドを試してエラーメッセージ以外が表示されたら、そのMacはFlashbackに感染しています。
以下の手順に従いFlashbackを除去しましょう。

1.第1のタイプの感染しているならば、
defaults read /Applications/%browser%.app/Contents/Info LSEnvironment
第2のタイプで感染しているならば
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
を実行。

2.1の結果から「DYLD_INSERT_LIBRARIES」の記述を探し指定されているファイルパスをメモする

3.2でメモしたファイルパスを%path_from_previous_step%に当てはめ、以下のコマンドを実行する
grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%

4.結果からリストアップされたファイルパスをメモする。

5.2と4でメモしたファイルを削除する

6.第1のタイプの感染しているならば
sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist
第2のタイプで感染しているならば
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
を実行する

そもそもトロイの木馬とは?

ひとたび実行されると、被害者の同意を一切得ずに、秘密裏にハードディスク内、もしくはメモリ内に自身を複製、インストールする。

攻撃者は被害者のパソコンを乗っ取って様々な被害をもたらす。例としてはキーロギング、プログラムの追加/削除、ファイルの追加/削除、アンチウイルスソフトの無効化、被害者のデスクトップ画面の撮影、パスワードの奪取、ウェブからの悪意あるプログラムのダウンロードなどがある。

名前の由来

一見安全な木馬だが、ひとたび受け取ると中から兵隊が出てくるというギリシャ神話に出てきた”トロイの木馬”からなぞられた。

1





U-F-Oさん

趣味でまとめを始めました。

U-F-Oのトップまとめ↓
http://matome.naver.jp/odai/2133439605761681201

このまとめに参加する