[Thủ thuật] Check và loại bỏ malware Flashback trong máy Mac của bạn

[ngoctm]

Các fan Mac gần đây đã phải nếm trải chút cảm giác giống như những gì người dùng Windows đã từng. Đó là sự tấn công của virut vào Mac OS X đã trở lại. Theo các số liệu thống kê mới nhất từ các công ty an ninh theo dõi virut đưa số lượng máy tính Mac bị nhiễm là hơn nửa triệu. Nó không nhiều gần tới mức như virut Windows song sự lây lan của nó đủ làm người dùng Mac lo ngại. Virut được biết với cái tên là Flashback và nó có thể cướp Mac của bạn mà không cần mật khẩu quyền admin. Nó khai thác lỗ hổng trong Java. Oracle, công ty tạo ra Java, nhanh chóng phát hành sửa lỗi này vào tháng 2. Nhưng không may, vì Apple đặt riêng phiên bản riêng của Java (và vì vậy phải tạo ra bản vá riêng cho nó), người dùng Mac sẽ phải chờ Apple sửa lỗi chưa có cho tới tận tuần trước.

Sự chậm chễ của Apple đã cho Flashback thời gian lây lan và dẫn tới hơn nửa triệu máy tính bị nhiễm - một trong số đó có thể là máy của bạn. Vậy làm thế nào để biết máy của bạn có bị nhiễm Flashback hay không?

Xin hướng dẫn bạn cách tìm và loại bỏ virut này từ máy của bạn nếu bạn thực hiện.

Kiểm tra Flashback

Cách đơn giản nhất để kiểm tra Flashback là dùng trang web Flashback Check thiết lập bởi nhà cung cấp bảo mật Kaspersky Lab. Chỉ cần vào trang web, nối máy của bạn với UUID (xem ở đây) và nó sẽ nói với bạn nếu máy Mac của bạn bị nhiễm.

Nếu bạn không muốn đưa UUID của bạn đến website, có hai lựa chọn khác. Cách đầu tiên là tải xuống FlashbackChecker và chạy nó trên máy.

Flaskback checker thực sự chỉ như lựa chọn thứ 2 - kiểm tra bằng tay dùng ứng dụng Terminal. Để làm việc này mở Terminal và dán dòng code sau vào và chạy:

[I]defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES[/I]

Phản hồi lại sẽ thấy như thế này:

[I]The domain/default pair of (/Users/<yourusername>/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist[/I]

Nếu thông điệp không nói là "does not exist", thì Flashback đang hiện diện trong máy của bạn. Giả sử là thông điệp không có, chúng ta hãy tiếp tục dán dòng này vào:

[I]defaults read /Applications/Safari.app/Contents/Info LSEnvironment[/I]

Nó cũng sẽ tạo thông điệp "does not exist". Lại nữa, nếu nó không có thì Mac của bạn đã nhiễm Flashback. Nếu không có thông điệp, hãy thử dòng sau:

[I]defaults read /Applications/Firefox.app/Contents/Info LSEnvironment[/I]

Lại nữa, thông điệp (hy vọng) không có. Còn không, đọc tiếp.

Loại bỏ Flashback

Nếu kiểm tra của bạn cho thấy có Flashback trong máy tính, bạn sẽ cần phải xóa một số file để phục hồi máy Mac của bạn. Kaspersky Lab có một ứng dụng đặc biệt mà đảm bảo quá trình đó cho bạn. Bạn có thể tải về Flashback Removal Tool của họ và sử dụng nó tẩy uế máy tính.

Nhớ trở lại các test trên khi bạn đã xong các công việc loại bỏ virut. Cách khác là sử dụng các code sau đây, khuyến cáo trước là chỉ dùng cho người dùng cao cấp.

Chỉ dẫn này từ F - secure, chính là bên báo cáo sự lan rộng của Flashback.

1. Chạy lệnh sau trong Ternimal:

[I]defaults read /Applications/Safari.app/Contents/Info LSEnvironment[/I]

2. Lưu ý giá trị DYLD_INSERT_LIBRARIES

3. Tiến tới bước 8 nếu bạn thấy thông báo lỗi sau:

[I]"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"[/I]

4. Nếu không thì, chạy lệnh sau trong Ternimal:

[I]grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%[/I]

5. Lưu ý giá trị sau "__ldpath__"

6. Chạy các lệnh sau trong Ternimal (trước tiên chắc chắn ở đây chỉ có một entry, từ bước 2):

[I]sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist[/I]

7. Xóa các file có được trong bước 2 và 5

8. Chạy các lệnh sau trong Ternimal:

[I]defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES[/I]

9. Chú ý kết quả. Hệ thống của bạn thực sự sạch nếu bạn gặp thông báo lỗi tương tự như sau:

[I]"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"[/I]

10. Nếu không thì, chạy lệnh sau trong Ternimal:

[I]grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%[/I]

11. Chú ý giá trị sau "__ldpath__"

12. Chạy các lệnh sau trong Ternimal:

[I]defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES[/I]

13. Cuối cùng, xóa các file có được trong bước 9 và 11

14. Chạy lệnh sau trong Ternimal:

[I]ls -lA ~/Library/LaunchAgents/[/I]

15. Chú ý tên file. Thực thi chỉ khi bạn có 1file. Nếu không thì liên hệ chăm sóc khách hàng của bạn.

16. Chạy lệnh sau trong Ternimal:

[I]defaults read ~/Library/LaunchAgents/%filename_obtained_in_step15% ProgramArguments[/I]

17. Chú ý đường dẫn. Nếu tên file không bắt đầu với một dấu "." thì máy của bạn có thể không bị nhiễm biến thể này.

18. Xóa các file có được từ bước 15 và 17.

Bầu trời đang sụp đổ?

Trong thời gian dài OS X phần lớn bị người viết virut và malware lờ đi, phần nào bởi vì lúc này nền Unix của nó đang có thời gian thử nghiệm và tính bảo mật tốt, nhưng cũng vì nó thiếu nhiều thị trường chia sẻ như Windows. Hầu hết điều đó giống như là sẽ tiếp tục được bao bọc, nhưng không có nghĩa là Mac của bạn là bất khả xâm phạm bởi cuộc tấn công.
Điều đó không có nghĩa là bạn nhất thiết cần phần mềm diệt virut trong máy tính Mac. Thực tế một trong nhiều mặt thú vị của Flashback là nó xóa chính nó khi nó phát hiện các công cụ phát triển của Apple hoặc các ứng dụng như Little Snitch, nó không quan tâm nếu như bạn có tiện ích diệt virut thương mại như Notron Antivirus, McAfee Viruscan hoặc F - secure được cài đặt. Nói cách khác, người phát triển Flashback đã lo lắng bị phát hiện bởi người dùng hiểu biết chứ không phải là phần mềm diệt virut.

Lắng nghe lời khuyên từ chính nhưng người viết virut và cố gắng trở thành người dùng hiểu biết - tránh tải xuống phần mềm đáng ngờ và dùng web khôn khéo - hơn là cài phần mềm diệt virut và tin tưởng mù quáng chúng sẽ bảo vệ máy tính của bạn.

Nguồn Wired.com​