Вспышка вредоносного ПО на Snow Leopard

4

Мой Mac OS X Snow Leopard используется вредоносной программой Flashback. Там в резюме F-Secure что я пытаюсь следовать, чтобы удалить его. Эта ссылка похожа и предоставляет немного больше деталей.

Первый шаг - ввести следующее:

bash-3.2$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
{
 "DYLD_INSERT_LIBRARIES" = "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl";
}

Это показывает вредоносное ПО. Следующим шагом является следующее:

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite: No such file or directory
grep: 022@.xsl: No such file or directory

Как вы видите, путь к файлу включает в себя .NeroLite \022@.xsl и комбинация обратной косой черты в космосе запутала меня, и система не может найти файл. Кто-нибудь, как я могу найти этот файл? Что \022@ пытаешься сделать? Как выполнить следующий шаг?

Update1

Я пробовал следующее:

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLite\ \\022@.xsl
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' "/Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl"
grep: /Applications/Safari.app/Contents/Resources/.NeroLite \022@.xsl: No such file or directory

bash-3.2$ ls /Applications/Safari.app/Contents/Resources/.Nero*
ls: /Applications/Safari.app/Contents/Resources/.Nero*: No such file or directory

bash-3.2$ grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*
grep: /Applications/Safari.app/Contents/Resources/.NeroLit*: No such file or directory

UPDATE2

Я выполнил следующие команды:

# sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment 
# sudo chmod 644 /Applications/Safari.app/Contents/Info.plist 
# defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-01 21:42:40.706 defaults[891:903] 
The domain/default pair of (/Users/myuser/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Что хорошо, согласно первой ссылке выше.

Затем я перезагрузил систему. Однако, когда я пытаюсь запустить Safari, он не запускается, а вместо этого выдает мне ту же самую старую ошибку:

Safari cannot be opened because of a problem.

Process:         Safari [882]
Path:            /Applications/Safari.app/Contents/MacOS/Safari
Identifier:      com.apple.Safari
Version:         ??? (???)
Build Info:      WebBrowser-75345503~2
Code Type:       X86-64 (Native)
Parent Process:  launchd [110]

Date/Time:       2012-04-01 21:41:24.286 -0700
OS Version:      Mac OS X 10.6.8 (10K549)
Report Version:  6

Interval Since Last Report:          501264 sec
Crashes Since Last Report:           11
Per-App Crashes Since Last Report:   11
Anonymous UUID:                      <removed>

Exception Type:  EXC_BREAKPOINT (SIGTRAP)
Exception Codes: 0x0000000000000002, 0x0000000000000000
Crashed Thread:  0

Dyld Error Message:
  could not load inserted library: /Applications/Safari.app/Contents/Resources/.NeroLite @.xsl

Binary Images:
0x7fff5fc00000 -     0x7fff5fc3bdef  dyld 132.1 (???) <removed> /usr/lib/dyld

<...lists installed hardware...>
gkk
источник
Не могли бы вы показать вывод: "ls -al /Applications/Safari.app/Contents/Resources/" (введите без ")
Alex Bolotov
Я не могу Есть сотни и сотни файлов. Тем не менее, никто не показывает с точкой перед ними (может быть, Mac скрывает эти файлы?). Если я наберу: ls -al /Applications/Safari.app/Contents/Resources/.N* это говорит no such file or directory.
gkk
попробуйте "читать по умолчанию ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES"
Alex Bolotov
Я включил это в UPDATE2 выше.
gkk
1
Более свежий Мой Mac заражен трояном Flashback? имеет принятый ответ. Если следующие ответы, например, те, которые вы считаете своей системой, повреждены или, возможно, инфицированы, тогда рекомендую переустановку системы ,
Graham Perrin

Ответы:

2

Самый безопасный способ обеспечить удаление живого вредоносного ПО - это (пере) загрузка с внешнего носителя, а затем переустановка ОС и всех ваших приложений и исполняемых файлов.

hotpaw2
источник
0

Просто используйте звездочку вместо всей этой подозрительной комбинации:

grep -a -o '__ldpath__[ -~]*' /Applications/Safari.app/Contents/Resources/.NeroLit*

Обновить:

Ваше сафари испортилось вам, вероятно, следует попробовать переустановить его , Еще лучшее решение:

  1. установить один из:

  2. Выполните полное сканирование системы (чтобы убедиться, что не осталось следов вредоносного ПО)

  3. Может быть резервное копирование всех данных и переустановите OSX

  4. Установите антивирус на чистую ОС. Никогда не используйте учетную запись администратора как основную учетную запись.

  5. Не доверяйте другим сайтам, что они помогут вам установить Flash Player или любой другой плагин. Всегда устанавливайте плагины (например, Adobe Flash) посещая их официальные сайты самостоятельно ( http://get.adobe.com/flashplayer/ в этом случае).

  6. Снимите флажок со следующих настроек в Safari (из некоторых статей по безопасности):

Securing Safari

Alex Bolotov
источник
Вообще, не рекомендуется предлагать подстановочный знак, когда целью является конкретный файл.
rm -rf
Я добавил результаты в раздел ОБНОВЛЕНИЕ выше.
gkk
Я сделал полное сканирование диска, используя ClamXav, и он не нашел ничего плохого. Mayber Я попробую другой продукт ...
gkk
Коктейль также можно искать известен Вредоносное ПО ( maintain.se/cocktail )
NOTjust -- user4304