Denuncian que 600.000 Mac están infectados con el troyano Flashback
El troyano Flashback ha aprovechado un problema de seguridad en los sistemas Mac para infectar 600.000 equipos. Apple ha lanzado una actualización para parchear la vulnerabilidad, pero la compañía no ha podido evitar que un importante número de equipos haya caído bajo el control de Flashback.
Este virus permitiría a sus responsables tomar el control de los ordenadores y crear así una 'botnet'.
Según Naked Security , que cita a una compañía de seguridad Rusa, un problema en el sistema Mac de Apple ha permitido la expansión del troyano.
Se trata de un virus que comenzó su actividad en el mes de septiembre de 2011. Sin embargo, ha sido ahora cuando este 'malware' ha conseguido un mayor éxito al aprovechar una vulnerabilidad de Apple.
Dicha vulnerabilidad aprovechaba un fallo en la versión de Java para Mac para penetrar en los sistemas.
Apple se dio cuenta del incidente y ha actualizado Java, pero no lo suficientemente rápido. La compañía ha tardado más de lo esperado y como consecuencia ya hay un alto número de equipos infectados.
En concreto, desde Naked Security aseguran que la infección ya afecta a 600.000 equipos Mac, 274 de ellos en Cupertino, sede de Apple.
Cómo saber si estamos infectados por Flashback y cómo eliminarlo.
1. Ejecutar el siguiente comando en el Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES
3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
4. En caso contrario, ejecutar el siguiente comando en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step2
5. Nos fijamos en el valor siguiente a “ldpath“
6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
7. Borramos los archivos que hemos obtenido en los pasos 2 y 5
8. Ejecutamos el siguiente comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.
“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
10. De lo contrario, ejecutamos el comando siguiente en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9
11. Nos fijamos en el valor que sigue a “ldpath“
12. Ejecutamos las órdenes siguientes en el Terminal:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.
El troyano Flashback ha aprovechado un problema de seguridad en los sistemas Mac para infectar 600.000 equipos. Apple ha lanzado una actualización para parchear la vulnerabilidad, pero la compañía no ha podido evitar que un importante número de equipos haya caído bajo el control de Flashback.
Este virus permitiría a sus responsables tomar el control de los ordenadores y crear así una 'botnet'.
Según Naked Security , que cita a una compañía de seguridad Rusa, un problema en el sistema Mac de Apple ha permitido la expansión del troyano.
Se trata de un virus que comenzó su actividad en el mes de septiembre de 2011. Sin embargo, ha sido ahora cuando este 'malware' ha conseguido un mayor éxito al aprovechar una vulnerabilidad de Apple.
Dicha vulnerabilidad aprovechaba un fallo en la versión de Java para Mac para penetrar en los sistemas.
Apple se dio cuenta del incidente y ha actualizado Java, pero no lo suficientemente rápido. La compañía ha tardado más de lo esperado y como consecuencia ya hay un alto número de equipos infectados.
En concreto, desde Naked Security aseguran que la infección ya afecta a 600.000 equipos Mac, 274 de ellos en Cupertino, sede de Apple.
Cómo saber si estamos infectados por Flashback y cómo eliminarlo.
1. Ejecutar el siguiente comando en el Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES
3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
4. En caso contrario, ejecutar el siguiente comando en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step2
5. Nos fijamos en el valor siguiente a “ldpath“
6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
7. Borramos los archivos que hemos obtenido en los pasos 2 y 5
8. Ejecutamos el siguiente comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.
“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
10. De lo contrario, ejecutamos el comando siguiente en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9
11. Nos fijamos en el valor que sigue a “ldpath“
12. Ejecutamos las órdenes siguientes en el Terminal:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.