Dátum: 2012.04.05. 09:09

A vírusokkal foglalkozó orosz cég, a Dr. Web riportja szerint csaknem 600 ezer Macintosh számítógép fertőződött meg eddig a pontig a "Flashback" trójai féreggel. A zombi gépekből álló botnet nagyobb része az USA-ban van, de a világ különféle pontjain is találni klienseket, olvasóink még Magyarországról is jelezték a fertőződést.

A vírus érdekessége, hogy "Software Update"-nek álcázza magát és a Java egyik biztonsági rését használja ki annak érdekében, hogy a gépre kerüljön. A felhasználók gyanútlanul ütik be ilyenkor az adminisztrátori jelszavukat (a pirossal kiemelt négyzet jelöli azt a képet, amit a vírus írója juttat a számítógépre Software Update-nek álcázva az ablakot):

Egy másik dolog, amire érdemes felhívni még a figyelmet a Java-val kapcsolatos: az Apple szeretné megszüntetni a Java támogatást, helyette az OpenJDK-t javasolja keretrendszernek, viszont úgy tűnik ez a hozzáállás alapvetően a vírusok íróinak kedvez. A Flashback trójainak biztonsági rését az Oracle már februárban patchelte, az Apple viszont néhány nappal ezelőttig nem csinált semmit – a fertőzött gépekből álló botnet eddigre már jó sok gépre duzzadt fel.

Az F-Secure tájékoztatója szerint az alábbi módon győződhetünk meg arról, hogy a gépünk érintetlen: nyissunk egy Terminal ablakot és üssük be a következő parancsot:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

Azt kell látnunk a megjelenő feliratok végén, hogy "does not exist". A következő parancs, amit kiadunk:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Szintén figyeljük a sor végén a "does not exist" részt. Ha nem ilyen, akkor az F-Secure weblapján leírtak szerint tudjuk eltávolítani a férget. (Némi jártasságot igényel a dolog, Unix parancsokat kell fabrikálnunk azok alapján, ami értékeket visszakapunk.)

Aggodalomra semmi ok, viszont az eset kapcsán érdemes elgondolkodni az Apple régi rendszereit érintő hozzáállásán, illetve azon, hogy a vírusok egyre szofisztikáltabb módon trükközik magukat a gépünkre.