Cómo saber si estamos infectados por Flashback y cómo eliminarlo

manelalbert · **Registrado:** 23 Oct 2010, 14:36

Os comentábamos en esta entrada que Flashback, un troyano que se aprovechaba de una vulnerabilidad de Java, había infectado muchísimos ordenadores (600.000) Mac. Para evitar que pudiera producirse dicho problema había salido un parche de seguridad para Java que también comentamos ayer. En los comentarios escribí más información acerca de cómo saber si nuestro Mac estaba afectado por Flashback y cómo solucionarlo, pero creo que es mejor aclararlo en una entrada adicional. También al final de la entrada veremos qué es lo que hace Flashback y qué pasos sigue.

Tras el salto vemos qué pasos hay que dar tanto para su detección como para eliminar el dichoso troyano, así como su funcionamiento.

1. Ejecutar el siguiente comando en el Terminal:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES

3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”

4. En caso contrario, ejecutar el siguiente comando en el Terminal:

grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step2

5. Nos fijamos en el valor siguiente a “ldpath“

6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

7. Borramos los archivos que hemos obtenido en los pasos 2 y 5

8. Ejecutamos el siguiente comando en el Terminal:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.

“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”

10. De lo contrario, ejecutamos el comando siguiente en el Terminal:

grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9

11. Nos fijamos en el valor que sigue a “ldpath“

12. Ejecutamos las órdenes siguientes en el Terminal:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES

13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.

Vía | applesfera.com

manelalbert · **Registrado:** 23 Oct 2010, 14:36

O simplificando para saber si estas libre de este troyano.

Primero ejecuta Terminal. Lo tienes dentro de Aplicaciones>Utilidades, pero si quieres acceder rápidamente ve a Spotlight y escribe terminal, y selecciónalo del listado de resultados.

Escribe defaults read /Applications/Safari.app/Contents/Info LSEnvironment y pulse Enter, si el resultado obtenido es The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist puedes seguir con el siguiente paso.

Ahora escribe defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES. Si de nuevo te devuelve un error del tipo The domain/default pair of (/Users/paul/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist puedes ester tranquilo. Tu Mac no está infectado.

Mi imac esta mas limpio que una patena :punk:

nickywes · **Registrado:** 18 Oct 2011, 18:49

Gran aporte para el Foro

Cómo saber si estamos infectados por Flashback y cómo eliminarlo

Temas relacionados

Últimos temas activos

Ver más...

Menu de usuario

Diseño Web

Webs Apple