Hemos considerado interesante compartir con vosotros la información acerca de como detectar y eliminar el virus Flashback en MacOS. Este virus está bastante propagado y actualmente hay unos 600.000 equipos infectados (57% en EEUU, 20% en Canadá, 12% en Reino Unido), además de al menos cuatro millones de páginas web comprometidas.
El troyano en cuestión, designado con el nombre BackDoor.Flashback.39, roba información a través del navegador gracias a una vulnerabilidad de Java 1.6.0_29, y afecta a equipos con Mac OS X. Hay parches de Apple para Leopard y Lion.
¿Cómo funciona Flashback?
Lo primero que hace es intentar conseguir permisos de administrador, para lo cual nos pedirá nuestro usuario y contraseña de administrador. Si se lo damos hace una serie de comprobaciones en nuestro sistema para instalarse. Su objetivo, modificar el contenido de algunas páginas web en nuestro navegador. De esta forma, podría por ejemplo redirigirnos a una página parecida y mostrar la información para conseguir nuestro usuario y contraseña en determinados sitios.
Lo gracioso del caso es que si tenemos determinados programas instalados en nuestro Mac, el malware simplemente se borra y desaparece sin dejar rastro. Es el caso de Little Snitch, XCode, y algunos paquetes de antivirus. Si lo logra, se lo comunicará a esta url: http ://95.215.63.38/stat_d/ y, en caso contrario, a esta otra: http ://95.215.63.38/stat_n/
Si no le damos nuestra contraseña de usuario, hace algunas comprobaciones más, como ver si tenemos instalado Word, Office 2008, Office 2011 o Skype, en cuyo caso tampoco se instala; si no detecta estos programas, intenta infectar los archivos binarios y comunicar su éxito a esta dirección web: http: / / 95.215.63.38/stat_u/.
¿Cómo podemos detectar Flashback?
Para detectar si un equipo está infectado con Flashback hay que realizar las siguientes acciones (más informacón en la web de F-Secure.com):
- 1. Ejecutar el siguiente comando en el Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment - 2. Anotamos el resultado del valor DYLD_INSERT_LIBRARIES
- 3. Si obtenemos un mensaje de error: «The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist» pasamos al punto 8, saltándonos los pasos intermedios..
- 4. Si no hemos obtenido el mensaje de error y tenemos el valor de DYLD_INSERT_LIBRARIES ejecutamos el siguiente comando en el Terminal:
grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step2%
OJO: Reemplazamos path_obtained_in_step2 con el contenido que hemos obtenido en el paso 2 del valor DYLD_INSERT_LIBRARIES - 5. Anotamos el resultado del valor después de ejecutar «__ldpath__»
- 6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist - 7. Borramos los archivos que hemos obtenido en los pasos 2 y 5
- 8. Ejecutamos el siguiente comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES - 9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.
«The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist» - 10. De lo contrario, ejecutamos el comando siguiente en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9
OJO: Reemplazamos path_obtained_in_step9 con el contenido que hemos obtenido en el paso 9 del valor DYLD_INSERT_LIBRARIES - 11. Anotamos el resultado del valor después de ejecutar «__ldpath__»
- 12. Ejecutamos las órdenes siguientes en el Terminal:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES - 13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.
Atención: Si no sabéis como conseguir el caracter ~ en el MAC, hay que pulsar ALT + Ñ.
Como podéis ver es algo complicado, pero si que es necesario comprobar si estamos infectados.
Ya hay una herramienta de Kaspersky que nos permite eliminar el virus Flashback sin tener que hacer todos los pasos que os detallábamos en esta entrada: Kaspersky Flashfake Removal Tool 1.0.
Recomendable.
Por otro lado, Apple también ha anunciado que próximamente tendrá disponible una utilidad para eliminar el virus Flashback: About Flashback malware. Lo que no especifica es cuando estará disponible.
Ahora además hay otra herramienta de F-Secure para eliminar el virus: F-Secure Flashback removal y una herramienta online nueva de Kaspersky: Flashback Check.
Apple también ha publicado en la noche de ayer una actualización de Java para Mac OS X 1.07.3 y MAC OS X 10.6.8, que elimina las variantes más comúnes de Flashback.