Como muchos de vosotros ya sabréis, el pasado jueves 5 la empresa rusa de seguridad informática Dr. Web informó sobre una amenaza en forma de troyano, conocido como Flashback, con cifras: Mas de 600.000 Macs en todo el mundo podrían estar infectados.
 |
| Mapa de distribución de ordenadores Mac afectados por "Flashback" |
El "modus operandi" de este malware consiste en aprovechar un punto débil en la seguridad del módulo de Java de Oracle para , mediante una aplicación que requiere aceptación por parte del usuario para ser instalada, acceder a la información personal ( contraseñas de acceso a entidades bancarias incluídas ) de algunas aplicaciones, como por ejemplo, safari.
Bien, para curarnos en salud, lo mejor es utilizar un sencillo método que nos permitirá saber si nuestro Mac está infectado, ideado por el portal F-Secure , y que consiste en introducir unos comandos en el terminal.
Si, es un poco pesadete, pero creo que bastante recomendable ponerlo en práctica.
1.Una vez abierta la sesión del terminal ( dentro de "Aplicaciones", submenú "Utilidades") , introducimos esta línea de comando:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2.Como resultado de ese comando, obtendremos una parrafada, y de ella debemos localizar en concreto la frase "DYLD_INSERT_LIBRARIES", y apuntar el valor siguiente. Si nos aparece este mensaje de error “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”, saltaremos al paso 6 de este proceso.
 |
| Con este mensaje de error, pasamos al paso 6 |
3.En caso de no tener mensaje de error, toca escribir esta línea de comando:
grep -a -o ‘ldpath[ -~]*’%(valor obtenido en el paso 2)%
Y tomamos nota del valor que sigue a "__ldpath__".
4. Introducimos los siguientes comandos en el Terminal (previamente nos aseguramos de que sólo haya una entrada, en el paso 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
5. Borramos los archivos obtenidos en los pasos 2 y 3.
6. Seguidamente, ejecutaremos este comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
En el párrafo que resultará tendremos la primera respuesta para saber si estamos infectados o no: Si aparece el mensaje de error siguiente, querrá decir que nuestro ordenador está libre del troyano ( y terminaremos el proceso aquí):
“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
 |
| Este es el bendito mensaje de error que demuestra que tenemos el Mac libre del troyano |
7.En caso contrario (os acompaño en el sentimiento), tendremos que escribir el siguiente comando:
grep -a -o ‘ldpath[ -~]*’ (ruta obtenida en el paso anterior
Tomaremos nota del valor que sigue a "__ldpath__".
8. Introduciremos estos dos comandos en la consola del términal ( ánimo, que esto se acaba ya ):
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
9.Para acabar, borramos los archivos obtenidos en los pasos 6 y 7.
Si todo ha ido bien, tenemos nuestro Mac libre de "Flashback"...Pero eso sí, lo siguiente que debemos hacer es corregir el orígen del problema, o sea, instalar la actualización de seguridad java a través del módulo de actualizaciones de nuestro Mac, para cerrar definitivamente la puerta de entrada a estos molestos troyanos.
No hay comentarios:
Publicar un comentario