No Image

ちょっと騒ぎになってきたMacのウイルス"FlashBack"の感染チェックをしてみる

Macのウイルスについて衝撃的な発表があった。
Macマルウェア「Flashback」がパスワードを狙う~早急にJavaアップデートを
60万台以上の「Mac」がトロイの木馬「Flashback」に感染か
これを読んで慌ててる人も多いかもしれない。
とりあえずは感染しているのかどうかを知りたいのではないか、ということで、調べる方法を書いてみる。

まずはターミナルを起動する。
【感染パターン.1】
ターミナル画面に次のコマンドを入力
[bash]
// Safariの場合
# defaults read /Applications/Safari.app/Contents/Info LSEnvironment
// Firefoxの場合
# defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
[/bash]
次のメッセージが表示されたら感染していない。
[bash]
The domain/default pair of (/Applications/safari.app/Contents/Info, LSEnvironment) does not exist
[/bash]
もしも違うメッセージが表示されたら感染している可能性がある。
その場合は次のコマンドを実行すること。
その前に必ず”DYLD_INSERT_LIBRARIES”環境変数を削除する。おそらく次のコマンドで削除できるだろう。
[bash]
# export DYLD_INSERT_LIBRARIES=""
[/bash]
そして次のコマンドを実行。
[bash]
// %browser% はブラウザ名を入力
// Safariの場合 : Safari
// Firefoxの場合 : Firefox
# sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
# sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist
[/bash]
【感染パターン.2】
ターミナル画面に次のコマンドを入力
[bash]
# defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
[/bash]
次の表示があれば、感染していない。
[bash]
The domain/default pair of (/Users/ログインしているユーザー名/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
[/bash]
もしも違うメッセージが表示されたら感染している可能性がある。
その場合は次のコマンドを実行すること。
その前に必ず”DYLD_INSERT_LIBRARIES”環境変数を削除する。おそらく次のコマンドで削除できるだろう。
[bash]
# export DYLD_INSERT_LIBRARIES=""
[/bash]
そして次のコマンドを実行。
[bash]
# defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
# launchctl unsetenv DYLD_INSERT_LIBRARIES
[/bash]
詳しくは下記へ記載されているので確認して下さい。
(Mac)Flashbackはあるか? / エフセキュアブログ
そろそろMacにもウイルス対策ソフトが必要かもしれませんね。
[tmkm-amazon]B005HTNHO0[/tmkm-amazon]

Share this post