Phần mềm độc hại Mac Flashback: Nó là gì và làm thế nào để loại bỏ nó (FAQ)

Nền tảng Mac của Apple từ lâu đã được quảng bá là an toàn hơn so với đối thủ, nhưng khi doanh số và thị phần của Mac tăng lên, nó trở thành mục tiêu lớn hơn.

Không nơi nào rõ ràng hơn với Flashback Trojan, một phần mềm độc hại được thiết kế để đánh cắp thông tin cá nhân bằng cách giả mạo như các trình cắm trình duyệt rất chính thống. Hôm qua, công ty chống vi-rút của Nga, Tiến sĩ Web cho biết, ước tính có khoảng 600.000 máy Mac bị nhiễm do người dùng vô tình cài đặt phần mềm.

Vì vậy, đây là Câu hỏi thường gặp nhanh về Flashback Trojan, bao gồm thông tin về nó là gì, làm thế nào để biết bạn có nó hay không và các bước bạn có thể thực hiện để loại bỏ nó.

Chính xác thì Flashback là gì?

Flashback là một dạng phần mềm độc hại được thiết kế để lấy mật khẩu và thông tin khác từ người dùng thông qua trình duyệt Web và các ứng dụng khác như Skype. Một người dùng thường nhầm nó với trình cắm trình duyệt hợp pháp trong khi truy cập trang web độc hại. Tại thời điểm đó, phần mềm cài đặt mã được thiết kế để thu thập thông tin cá nhân và gửi lại cho các máy chủ từ xa. Trong các phiên bản gần đây nhất, phần mềm có thể tự cài đặt mà không cần tương tác của người dùng.

Lần đầu tiên nó xuất hiện là khi nào?

Flashback như chúng ta biết hiện đã xuất hiện vào gần cuối tháng 9 năm ngoái, giả vờ là trình cài đặt cho Adobe Flash, một plugin được sử dụng rộng rãi để phát trực tuyến video và các ứng dụng tương tác mà Apple không còn cung cấp trên máy tính của mình. Phần mềm độc hại đã phát triển để nhắm mục tiêu thời gian chạy Java trên OS X, nơi người dùng truy cập các trang web độc hại sau đó sẽ được nhắc cài đặt nó trên máy của họ để xem nội dung Web. Các phiên bản nâng cao hơn sẽ cài đặt lặng lẽ trong nền mà không cần mật khẩu.

Làm thế nào mà nó lây nhiễm rất nhiều máy tính?

Câu trả lời đơn giản là phần mềm được thiết kế để làm chính xác điều đó. Trong lần đầu tiên xuất hiện, phần mềm độc hại trông rất giống với trình cài đặt Flash của Adobe. Không có ích gì khi Apple không vận chuyển Flash trên máy tính của họ trong hơn một năm, được cho là tạo ra một nhóm người dùng có nhiều khả năng chạy trình cài đặt để xem các trang web phổ biến chạy trên Flash. Trong các biến thể liên quan đến Java mới hơn, phần mềm có thể tự cài đặt mà không cần người dùng phải nhấp vào bất cứ thứ gì hoặc cung cấp cho nó mật khẩu.

Điều cũng không giúp được là cách mà Apple đối phó với Java. Thay vì chỉ sử dụng bản phát hành công khai hiện tại của Java, công ty tạo và duy trì các phiên bản của riêng mình. Hóa ra, các tác giả phần mềm độc hại đã khai thác một lỗ hổng đặc biệt mà Oracle đã vá vào tháng Hai. Apple đã không sửa chữa phiên bản Java của riêng mình cho đến tháng Tư.

Apple đã làm gì về nó?

Apple có trình quét phần mềm độc hại riêng được tích hợp trong OS X có tên XProtect. Kể từ khi Flashback ra mắt, công cụ bảo mật đã được cập nhật hai lần để xác định và bảo vệ chống lại một số biến thể Flashback.

Tuy nhiên, một phiên bản mới hơn của phần mềm độc hại đã xoay quanh XProtect bằng cách thực thi các tệp của nó thông qua Java. Apple đã đóng cửa điểm truy cập chính của phần mềm độc hại bằng bản cập nhật Java vào ngày 3 tháng 4 và từ đó đã phát hành một công cụ loại bỏ như là một phần của bản cập nhật Java tiếp theo.

Lưu ý, các bản sửa lỗi bảo mật Java chỉ khả dụng trên Mac OS X 10.6.8 trở lên, vì vậy nếu bạn đang chạy OS X 10.5 trở về trước, bạn vẫn sẽ dễ bị tấn công. Apple đã ngừng cung cấp bản cập nhật phần mềm cho các hệ điều hành này.

Làm thế nào để tôi biết nếu tôi có nó?

Ngay bây giờ, cách dễ nhất để biết máy tính của bạn có bị nhiễm hay không là đến công ty bảo mật F-Secure và tải xuống phần mềm phát hiện và xóa Flashback. Thực hiện theo các hướng dẫn ở đây về cách nhận và sử dụng nó. Công ty bảo mật Symantec cung cấp công cụ độc lập mang thương hiệu Norton, mà bạn có thể truy cập tại đây.

Thay phiên, bạn có thể chạy bộ ba lệnh trong Terminal, một phần mềm bạn sẽ tìm thấy trong thư mục Tiện ích trong thư mục Ứng dụng của máy Mac. Nếu bạn muốn tìm nó mà không cần đào, chỉ cần thực hiện tìm kiếm Spotlight cho "Terminal".

Khi đó, sao chép và dán từng chuỗi mã bên dưới vào cửa sổ terminal. Lệnh sẽ tự động chạy:

mặc định đọc /Appluggest/Safari.app/Contents/Info LSEn Môi trường

mặc định đọc /Appluggest/Firefox.app/Contents/Info LSEn Môi trường

mặc định đọc ~ / .MacOSX / môi trường DYLD_INSERT_LIBRARIES

Nếu hệ thống của bạn sạch sẽ, các lệnh sẽ cho bạn biết rằng các cặp miền / mặc định đó "không tồn tại." Nếu bạn bị nhiễm, nó sẽ nhổ miếng vá cho phần mềm độc hại đó đã tự cài đặt trên hệ thống của bạn.

Uh oh, tôi có nó. Làm thế nào để tôi loại bỏ nó?

Sử dụng một trong những công cụ nêu trên, các công cụ đã nói ở trên từ F-Secure hoặc Norton sẽ tự động loại bỏ phần mềm độc hại khỏi máy tính của bạn mà không cần thêm bất kỳ bước nào. Nếu bạn, vì một số lý do, cảnh giác khi sử dụng một trong những công cụ của bên thứ ba này, Topher Kessler của CNET cung cấp hướng dẫn từng bước về cách xóa Flashback khỏi máy Mac của bạn. Quá trình này cũng yêu cầu nhảy vào Terminal và chạy các lệnh đó, sau đó theo dõi nơi lưu trữ các tệp bị nhiễm, sau đó xóa chúng theo cách thủ công.

Để có biện pháp tốt, bạn cũng nên thay đổi mật khẩu trực tuyến của mình tại các tổ chức tài chính và các dịch vụ bảo mật khác mà bạn có thể đã sử dụng trong khi máy tính của bạn bị xâm nhập. Không rõ liệu dữ liệu này có được nhắm mục tiêu, ghi lại và gửi như một phần của cuộc tấn công hay không, nhưng đó là một hành vi phòng ngừa thông minh đáng để thực hiện một cách thường xuyên.

Nhưng câu chuyện liên quan

  • Công cụ gỡ bỏ phần mềm độc hại Flashback của Apple hiện đang hoạt động
  • Flashback mối đe dọa phần mềm độc hại lớn nhất Mac, các chuyên gia nói
  • Hơn 600.000 máy Mac bị nhiễm botnet Flashback
  • Bản cập nhật Java cho bản vá OS X khai thác phần mềm độc hại Flashback
  • ZDNet: Dịch bệnh phần mềm độc hại Mac mới khai thác điểm yếu trong hệ sinh thái Apple

Vì vậy, bây giờ sửa chữa ở đây, tôi có an toàn không?

Trong một từ, không. Các tác giả Flashback đã cho thấy họ có xu hướng tiếp tục thay đổi phần mềm độc hại để vượt qua các bản sửa lỗi bảo mật mới.

Lời khuyên của CNET chủ yếu là chỉ tải xuống bất kỳ phần mềm nào từ các nguồn đáng tin cậy. Điều đó bao gồm các trang web của các nhà sản xuất phần mềm đã biết và đáng tin cậy, cũng như các kho lưu trữ được bảo mật tốt như Download.com của CNET. Ngoài ra, như một quy tắc khác, nên giữ các tiện ích bổ sung của bên thứ ba cập nhật nhất có thể để luôn cập nhật với bất kỳ cập nhật bảo mật nào. Nếu bạn muốn giữ an toàn hơn nữa, hãy tránh xa Java và các tiện ích bổ sung khác của hệ thống trừ khi chúng cần một phần mềm hoặc dịch vụ Web đáng tin cậy.

CNET blogger Topher Kessler và biên tập viên cao cấp của CNET Seth Rosenblatt đã đóng góp cho báo cáo này.

Cập nhật lúc 1:40 chiều PT ngày 5/4 với hướng dẫn gỡ bỏ được cập nhật. Được cập nhật vào ngày 6 tháng 4 lúc 7:44 sáng với thông tin về bản cập nhật thứ hai từ Apple và lúc 1:55 chiều với thông tin về tiện ích phát hiện dựa trên web của Dr. Web. Cập nhật vào ngày 9 tháng 4 lúc 12:30 chiều PT với xác nhận độc lập rằng biểu mẫu của Tiến sĩ Web là an toàn cho mọi người sử dụng. Được cập nhật một lần nữa vào lúc 4 giờ chiều ngày 12 tháng 4 để ghi chú bản phát hành và chi tiết về công cụ gỡ bỏ của chính Apple.

Bài ViếT Phổ BiếN

Thêm văn bản vào ảnh trên iPhone của bạn bằng Tiny Post

Cách nhận bản cập nhật Windows 10 Creators Update mới

Bây giờ bạn có thể cập nhật, gỡ cài đặt ứng dụng Android thông qua trang web Google Play

Cách sử dụng Android của bạn như một webcam

Cách đặt lại và cập nhật Foxtel HD +

'OMG @docbrown': Marty McFly và Doc sẽ tweet gì hôm nay

 

Để LạI Bình LuậN CủA BạN