Cómo saber si estamos infectados por Flashback y cómo eliminarlo

Ayer comentábamos en esta entrada que Flashback, un troyano que se aprovechaba de una vulnerabilidad de Java, había infectado muchísimos ordenadores (600.000) Mac. Para evitar que pudiera producirse dicho problema había salido un parche de seguridad para Java que también comentamos ayer. En los comentarios escribí más información acerca de cómo saber si nuestro Mac estaba afectado por Flashback y cómo solucionarlo, pero creo que es mejor aclararlo en una entrada adicional. También al final de la entrada veremos qué es lo que hace Flashback y qué pasos sigue.

Tras el salto vemos qué pasos hay que dar tanto para su detección como para eliminar el dichoso troyano, así como su funcionamiento.

1. Ejecutar el siguiente comando en el Terminal:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES

3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”

4. En caso contrario, ejecutar el siguiente comando en el Terminal:

grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step2

5. Nos fijamos en el valor siguiente a “ldpath“

6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

7. Borramos los archivos que hemos obtenido en los pasos 2 y 5

8. Ejecutamos el siguiente comando en el Terminal:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.

“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”

10. De lo contrario, ejecutamos el comando siguiente en el Terminal:

grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9

11. Nos fijamos en el valor que sigue a “ldpath“

12. Ejecutamos las órdenes siguientes en el Terminal:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES

13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.

¿Cómo funciona Flashback?

En la página de F-Secure anteriormente mencionada también podemos ver más información acerca de cómo actua Flashback. Cómo todos los troyanos, lo primero que hace es intentar conseguir permisos de administrador, para lo cual nos pedirá nuestro usuario y contraseña de administrador. Si se lo damos el malware hace una serie de comprobaciones en nuestro sistema para instalarse. Su objetivo, modificar el contenido de algunas páginas web en nuestro navegador. De esta forma, podría por ejemplo redirigirnos a una página parecida y mostrar la información para conseguir nuestro usuario y contraseña en determinados sitios.

Lo gracioso del caso es que si tenemos determinados programas instalados en nuestro Mac, el malware simplemente se borra y desaparece sin dejar rastro. Es el caso de Little Snitch, XCode, y algunos paquetes de antivirus. Si lo logra, se lo comunicará a esta url: h t t p ://95.215.63.38/stat_d/ y, en caso contrario, a esta otra: h t t p ://95.215.63.38/stat_n/

Si no le damos nuestra contraseña de usuario, hace algunas comprobaciones más, como ver si tenemos instalado Word, Office 2008, Office 2011 o Skype, debe ser porque son incompatibles de alguna forma con los pasos que hará a continuación, que es intentar infectar los archivos binarios y comunicar su éxito a esta dirección web: h t t p : / / 95.215.63.38/stat_u/.

Si habéis hecho los pasos anteriores y vuestro Mac no ha sido afectado, recordad que tenéis que instalar la actualización de seguridad o bien actualizar Java para evitar que ocurra.

En Applesfera | Flashback, un troyano que afecta a 600.000 Mac en todo el mundo