Retroceder   ExVagos > Zona ¡A por ello! > Software > MAC

Avisos

MAC Aqui todos los programas/aplicaciones para MAC.



Flashback, un troyano que afecta a 600.000 Mac en todo el mundo

Flashback, un troyano que afecta a 600.000 Mac en todo el mundo Descargar gratis completo full con crack torrent en 1 link


 
 
Herramientas Desplegado
 
#1  
Antiguo 09-abr-2012, 11:37
Avatar de grizly57
grizly57 grizly57 está desconectado
Colaborador
 
Fecha de Ingreso: julio-2009
Ubicación: Cantabria Infinita
Mensajes: 8.506
Gracias: 21.220
Le dieron las gracias 38.855 veces en 7.252 Posts
Predeterminado Flashback, un troyano que afecta a 600.000 Mac en todo el mundo

Mac Flashback infecta 600.000 ordenadores Mac en todo el mundo, hasta en Cupertino

El analista ruso Ivan Sorokin informa que el último troyano Mac Flashback ha logrado infectar 600.000 ordenadores Mac en todo el mundo. Lo más insolito es que 247 ordenadores son de Cupertino, al parecer desde los cuarteles generales de Apple.
Según Sorokin, el 57 por ciento de las Macs infectadas se encuentran en los Estados Unidos y el 20 por ciento están en Canadá. Como en las versiones anteriores del malware, la última variante Flashback busca un Mac infectado por una serie de aplicaciones antes de generar una lista de servidores de control y convertir tu Mac en un zombi que envía tus datos personales como contraseñas bancarias.

Según un informe de la empresa rusa de antivirus Dr. Web, el troyano Flashback ha afectado a unos 550.000 equipos Mac en todo el mundo, de los cuales el 57% corresponderían a Estados Unidos, 20% a Canadá y el 12% al Reino Unido, aunque una última estimación elevaría la cifra a 600.000 ordenadores. El troyano en cuestión, designado con el nombre BackDoor.Flashback.39, roba información a través del navegador gracias a una vulnerabilidad de Java 1.6.0_29, y afecta a equipos con Mac OS X. La presencia del troyano se detectó en septiembre de 2011, enmascarado en un falso instalador de Flash Player. Al parecer la vulnerabilidad era conocida desde hace algunos meses pero no ha sido hasta hoy cuando se ha publicado para su descarga el parche contra dicho fallo.

Una SERP de Google de marzo ha detectado la existencia de al menos cuatro millones de páginas web comprometidas y algunos usuarios han informado de la infección tras visitar dlink.com.
Puedes descargar ahora mismo el parche de seguridad.
El mismo está disponible desde la página de soporte de Apple.
Directamente desde este enlace para Leopard:
O para Lion:
Mas información, Dr.Web:
Si por desgracia el troyano se ha instalado en vuestro Mac lo podéis quitar sin reinstalar el sistema, para ello es mejor saber como se instala:

El malware Flashback inyecta código en aplicaciones (específicamente los exploradores Web) que se ejecutará cuando se ejecutan, y que luego enviar imágenes y otra información personal a servidores remotos.

Primer paso: explotación de Java

Cuando se encuentra la página Web malintencionada que contiene el malware y tiene una versión sin parches de Java que se ejecuta en su sistema, ejecutará en primer lugar un pequeño applet de Java que cuando ejecute será romper la seguridad de Java y escribir un programa instalador pequeño en la cuenta del usuario.
El programa se llama algo como .jupdate, .mkeeper, .flserv, .null o .rserv, y el período de hace aparecer ocultos en la vista predeterminada de Finder.Además, el applet de Java escribirá un archivo llamado algo como "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" o incluso "null.plist" a la actual carpeta de usuario ~/Library/LaunchAgents/, que continuamente se iniciará el programa de .jupdate cuando el usuario inicia sesión.A fin de evitar la detección, el instalador buscará primero la presencia de algunas herramientas antivirus y otras utilidades que pueden estar presentes en la alimentación del sistema del usuario, que de acuerdo con F-Secure incluyen lo siguiente:
/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

Si estas herramientas se encuentran, entonces el malware elimina en un intento de evitar la detección por aquellos que tienen los medios y la capacidad para hacerlo.
Muchos programas de malware utilizan este comportamiento, como se vio en otros, como el tunami bot.

Segundo paso:

Descarga de la carga
Cuando se ejecuta el programa jupdate, se conectará a un servidor remoto y descargar una carga un programa que es malicioso y que consta de dos componentes.
La primera es la parte principal del malware que realiza la captura y envío de información personal, y el segundo es un componente de filtro que se utiliza para impedir que el malware que se ejecute a menos que se utilizan programas específicos como los navegadores Web.
Tercer paso: infección


Una vez que el malware y el filtro se descargan, se ejecuta el malware para infectar el sistema. Esto es donde los usuarios verán una alerta acerca de una actualización de software y se pedirá que proporcione sus contraseñas.
Lamentablemente en este momento hay nada para detener la infección, y o no una contraseña es suministran sólo cambios en el modo de infección.
La raíz de la rutina de infección se basa en archivos de configuración de OS X que se leer y ejecutado cuando se ejecutan programas de secuestro. Uno de ellos se llama "Info.plist", ubicado en la carpeta de "Contenidos" dentro de cada paquete de la aplicación de OS X y se lee cuando se abre ese programa específico.
El segundo se llama "environment.plist" y se encuentra dentro de la cuenta de usuario en una carpeta oculta # ~ /.MacOSX/environment.plist#, que pueden utilizarse para iniciar parámetros cada vez que los programas se abren por el usuario.
El primer modo de infección es si se proporciona una contraseña, en cuyo caso el malware altera los archivos Info.plist en Safary y FireFox para ejecutar el malware siempre que estos programas se abren.


Este es el modo preferido de malware de la infección, pero si no se proporciona una contraseña, luego el malware recurre a su segundo modo de infección, donde modifica el archivo "environment.plist".
Mediante el archivo environment.plist, el malware se ejecutará cada vez que se abre cualquier aplicación, y esto dará lugar a bloqueos y otro comportamiento extraño que podría causar alarma al usuario, por lo que el malware utiliza entonces su componente de filtro para sólo se ejecutan cuando se inician ciertas aplicaciones, tales como Safari, Firefox, Skype y incluso las instalaciones de Office.
De cualquier manera, una vez descargado el malware infecta el sistema utilizando uno de estos enfoques y se ejecutará cuando se utilizan aplicaciones de destino como exploradores Web.
En las variantes más recientes del malware, cuando instalado utilizando el archivo "environment.plist" será más Compruebe el sistema para asegurar las instalaciones completas de programas como Office o Skype están presente y potencialmente Eliminar propio si estos programas no están plenamente o correctamente instalados. F-Secure especule esto es un intento de evitar la detección temprana del malware.
¿Como detectarlo?

Detectar el malware es bastante fácil y requiere simplemente abre la aplicación Terminal en la carpeta/Utilidades//aplicaciones y ejecute los siguientes comandos:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Estos comandos leerá el archivo "Info.plist" de algunas aplicaciones de destino y el archivo "environment.plist" en la cuenta de usuario y determinar si existe la variable usada por el malware para lanzar a sí mismo (llamado "DYLD_INSERT_LIBRARIES").

Si la variable no está presente, estos tres comandos terminales generará que el par de predeterminado "no existe", pero si están presentes estos comandos generará una ruta que apunta al archivo de malware, que debería ver en la ventana de Terminal.
Además de los comandos anteriores, puede comprobar la presencia de archivos de Galeon invisible que pasado variantes del malware creación en el directorio de usuario compartido ejecutando el siguiente comando en el Terminal:

ls -la ~/../Shared/.*.so

Después de ejecutar este comando, si ve una salida de "no such file or directory" entonces no tienes estos archivos en el directorio compartido del usuario; Sin embargo si están presentes, a continuación, verás la lista.

¿Cómo removerlo?


Si después de ejecutar los tres primeros comandos de detección que encontrará que su sistema contiene los archivos modificados y sospecha que tiene el malware instalado, entonces se puede ir acerca de cómo quitar mediante estas instrucciones son un poco profunda, pero si usted sigue exactamente, entonces debe capaz de eliminar el sistema de la infección:

Abra el Terminal y ejecute los siguientes comandos (el mismo que el anterior):

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES



Cuando se ejecutan estos comandos, anote la ruta de acceso completa al archivo que es la salida a la ventana de terminal (puede estar emparejado con el término "DYLD_INSERT_LIBRARIES"). Para cada uno de los comandos que una ruta de archivo de salida (y no digo el par de dominio no existe), copiar la sección de ruta de acceso completa al archivo y ejecutar el siguiente comando con la ruta del archivo en lugar de la ruta del archivo en el comando (copiar y pegar este comando):

grep -a -o '__ldpath__[ -~]*' FILEPATH




Localice los archivos mencionados en la salida de los comandos anteriores y eliminarlos. Si no puede encontrar en el Finder, entonces para cada tipo de primera "sudo rm en el terminal, seguido de un espacio único, utilice el cursor del ratón para seleccionar la ruta de acceso completa al archivo de salida del primer comando y utilice el comando-C, seguido por el comando-V para copiar y pegar en la Terminal.
A continuación, pulse Intro para ejecutar el comando y quitar este archivo.
Vea la siguiente captura de pantalla para obtener un ejemplo de cómo esta debe ser:


Después de ejecutar el comando y revelar la ruta al archivo de malware, copiar la ruta al comando "sudo rm, en una nueva línea como se muestra aquí para que el sistema eliminarlo. (Crédito: captura de pantalla por Topher Kessler Y Snow leopard)

Cuando se han eliminado todas las referencias de archivos por los comandos "valores predeterminados" anteriores, entonces ha quitado los archivos de malware, pero todavía necesita restablecer las aplicaciones alteradas y cuenta archivos hacerlo esta ejecución los siguientes comandos:

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES


En el Finder, vaya al menú Go y seleccione Library (mantenga la tecla opción en León para revelar esta opción en el menú) y, a continuación, abra la carpeta de LaunchAgents, (LaunchAgents folder) donde debería ver un archivo llamado algo así como "com.java.update.plist."

A continuación, escriba el siguiente comando en el Terminal (Nota: cambiar el nombre de "com.java.update" en el comando para reflejar el nombre del archivo antes de su sufijo .plist, tales como "com.adobe.reader" si tienes ese archivo):

defaults read ~/Library/LaunchAgents/com.java.update ProgramArgumentsac


Una vez finalizada este comando, presione entrar y tenga en cuenta la ruta del archivo que ha sido la salida a la ventana de Terminal.
Como lo hizo anteriormente, busque este archivo en el Finder y eliminarlo, pero si usted no puede hacerlo entonces escriba "sudo rm" seguida de un espacio único y luego copiar y pegar la ruta del archivo de salida en el comando y presione ENTRAR.
Para quitar cualquier archivo oculto encontraron anteriormente, que puede quitar ejecutando el siguiente comando en el Terminal (asegúrese de copiar y pegar este comando, deben ser absolutamente sin espacios en el último componente que contiene los símbolos y signos de puntuación):

sudo rm ~/../Shared/.*.so

Una vez completado este paso, elimine el archivo llamado "com.java.update.plist" (o "com.adobe.reader.plist" y debe ser bueno para ir.
Encontrado en la Net y traducido del ingles

Si te atreves lo puedes hacer manualmente con esta pequeña utilidad:
http://www.exvagos1.com/mac/311070-ch...ml#post1773849
Saludos
__________________


No tengo ningún talento en especial, sólo soy apasionadamente curioso
Cuando nos caemos, nos levantamos y sacudimos el polvo de las rodillas.
Si nos equivocamos es de sabios rectificar y aprender de nuestros errores.

Última edición por grizly57; 09-abr-2012 a las 12:08 Razón: Añadir información
Responder Citando
Los siguientes 11 Usuarios le dieron las Gracias a grizly57 por este Post:
capca68 (25-dic-2012), dietrick (05-may-2012), FalkonSP (09-abr-2012), fihermic (10-abr-2012), isferfi (10-abr-2012), Puckarti (10-abr-2012), rorqui (27-oct-2012), santiagov (19-dic-2012), schumann2 (09-dic-2016), Sergioj (10-abr-2012), tirofederal (24-jun-2013)
 
#2  
Antiguo 10-abr-2012, 01:40
Avatar de grizly57
grizly57 grizly57 está desconectado
Colaborador
 
Fecha de Ingreso: julio-2009
Ubicación: Cantabria Infinita
Mensajes: 8.506
Gracias: 21.220
Le dieron las gracias 38.855 veces en 7.252 Posts
Predeterminado Respuesta: Flashback, un troyano que afecta a 600.000 Mac en todo el mundo

Otra forma de detectarlo y eliminarlo:

Como se comento en el primer post, el malware infecta el equipo de dos maneras:

- Haciendo uso de privilegios administrativos con la que modifica un fichero plist de Firefox y Safari para añadir una variable llamada DYLD_INSERT_LIBRARIES que lanza el malware cuando esas aplicaciones se ejecutan.
Para saber si tienes esta variante en tu equipo debes ejecutar estos comandos en tu sistema.

defaults read /Applications/Safari.app/Contents/Info DYLD_INSERT_LIBRARIES
defaults read /Applications/Firefox.app/Contents/Info DYLD_INSERT_LIBRARIES


Si la respuesta es que no existe, entonces no tienes esta variante en tu Mac OS X.

- Hay otra forma de infección más global del sistema en la que se modifica, con la misma variable, un fichero plist del sistema que hará que se ejecute el malware en cuanto se ejecute cualquier aplicación.

Esta otra forma se lanza con la cuenta de usuario, sin hacer uso de privilegios administrativos, teclea en el terminal este comando para saber si la tienes:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES


debes obtener una respuesta que diga que no existe esa entrada.

En caso de que algún resultado de los anteriores sea afirmativo:

Para el primer caso usar estos comandos:

sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironmentsudo chmod 644 /Applications/%browser%.app/Contents/Info.plist


En el segundo caso utilizar:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIESlaunchctl unsetenv DYLD_INSERT_LIBRARIES


Quien pensaba que los Mac estan fuera de peligro en cuanto a malware e infecciones se equivocaban, se recomienda utilicen alguna solución instalada con protección a tiempo real.
Quizá esta manera de explicarlo sea mas comprensible para algunos...
Los comandos se pueden copiar y pegar (cmd+c, cmd+v)

Saludos
__________________


No tengo ningún talento en especial, sólo soy apasionadamente curioso
Cuando nos caemos, nos levantamos y sacudimos el polvo de las rodillas.
Si nos equivocamos es de sabios rectificar y aprender de nuestros errores.
Responder Citando
Los siguientes 8 Usuarios le dieron las Gracias a grizly57 por este Post:
anabelee (15-abr-2012), capca68 (25-dic-2012), FalkonSP (11-abr-2012), fihermic (10-abr-2012), isferfi (10-abr-2012), Puckarti (10-abr-2012), Sergioj (10-abr-2012), tirofederal (24-jun-2013)
 
#3  
Antiguo 10-abr-2012, 15:43
Avatar de kiermel
kiermel kiermel está desconectado
Colaborador
 
Fecha de Ingreso: noviembre-2008
Ubicación: Málaga
Mensajes: 472
Gracias: 571
Le dieron las gracias 4.762 veces en 440 Posts
Predeterminado Re: Flashback, un troyano que afecta a 600.000 Mac en todo el mundo

Gracias por el aviso.
El enlace de Lion está mal, sale una página en blanco. El correcto es:
__________________
Mac Mini Intel Core 2 Duo, con 8 GB de RAM | Mac OS X Mountain Lion | iPad 3 Wifi 16 GB | Windows 7
Responder Citando
Los siguientes 7 Usuarios le dieron las Gracias a kiermel por este Post:
dietrick (05-may-2012), FalkonSP (11-abr-2012), fihermic (10-abr-2012), grizly57 (10-abr-2012), isferfi (10-abr-2012), Sergioj (10-abr-2012), tirofederal (24-jun-2013)
 
#4  
Antiguo 10-abr-2012, 17:51
Avatar de grizly57
grizly57 grizly57 está desconectado
Colaborador
 
Fecha de Ingreso: julio-2009
Ubicación: Cantabria Infinita
Mensajes: 8.506
Gracias: 21.220
Le dieron las gracias 38.855 veces en 7.252 Posts
Predeterminado Respuesta: Flashback, un troyano que afecta a 600.000 Mac en todo el mundo

Gracias ya lo corregí, de todas maneras ya sabes que en el store no hacen mas que modificar los enlaces.
__________________


No tengo ningún talento en especial, sólo soy apasionadamente curioso
Cuando nos caemos, nos levantamos y sacudimos el polvo de las rodillas.
Si nos equivocamos es de sabios rectificar y aprender de nuestros errores.
Responder Citando
Los siguientes 4 Usuarios le dieron las Gracias a grizly57 por este Post:
dietrick (05-may-2012), isferfi (10-abr-2012), jolitomano12 (17-mar-2013), tirofederal (24-jun-2013)
 
#5  
Antiguo 22-jun-2013, 22:50
ducateo ducateo está desconectado
De visita
 
Fecha de Ingreso: diciembre-2012
Mensajes: 4
Gracias: 0
Le dieron las gracias 9 veces en 4 Posts
Predeterminado Respuesta: Flashback, un troyano que afecta a 600.000 Mac en todo el mundo

Muchas gracias por la info.
Responder Citando
Los siguientes 2 Usuarios le dieron las Gracias a ducateo por este Post:
grizly57 (22-jun-2013), tirofederal (24-jun-2013)
 



(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder temas
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro


La franja horaria es GMT +1. Ahora son las 09:08.


Powered by vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Exvagos1.Com Exvagos es marca registrada.