Een door een virus geïnfecteerde Mac was vroeger een zeldzaamheid, en het was het beste argument dat je kon inbrengen in een Mac versus pc-debat. Maar nu de acceptatie van Mac de afgelopen jaren enorm is toegenomen, was het onvermijdelijk dat het besturingssysteem van Apple een doelwit zou worden voor hackers.
Variaties van één Flashback-trojan, die voor het eerst opdook in 2007, treffen nu meer dan 600.000 Macs over de hele wereld. Hier leest u hoe u erachter kunt komen of uw machine is getroffen en de malware kunt doden.
Het Russische antivirusbedrijf Dr. Web gisteren aangekondigd dat de Flashback-trojan nu op meer dan 550.000 Macs is geïnstalleerd. Uren later kondigde Dr. Web-malware-analist Sorokin Ivan op Twitter aan dat het aantal was gestegen tot 600.000 Macs, waarvan 274 geïnfecteerd waren in de geboorteplaats van Apple, Cupertino, Californië.
De meest recente variant van de Flashback-trojan richt zich op Macs waarop een oudere versie van Java Runtime is geïnstalleerd. Gelukkig brengt Apple eerder deze week een update uit om de kwetsbaarheid te patchen, maar voor sommige machines was het net te laat.
Ars Technica legt uit hoe de hack werkt:
Net als oudere versies van de malware, doorzoekt de nieuwste Flashback-variant een geïnfecteerde Mac voor een aantal antivirusprogramma's voordat u een lijst met botnetcontroleservers genereert en begint met het inchecken met hen. Dat de oplossing want de Java-kwetsbaarheid is uit, maar er is geen excuus om niet te updaten: de malware installeert zichzelf nadat u een gecompromitteerde of schadelijke webpagina hebt bezocht, dus als u op internet bent, bent u mogelijk op risico.
U kunt erachter komen of uw machine wordt beïnvloed door de Terminal-toepassing te openen en te typen:
standaardwaarden lezen /Applicaties/Safari.app/Contents/Info LSEnvironment
Als u het bericht "Het domein/standaardpaar van (/Applications/Safari.app/Contents/Info, LSEnvironment) bestaat niet" krijgt, moet u het volgende invoeren:
standaardwaarden lezen ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Als u de melding krijgt "Het domein/standaardpaar van (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) bestaat niet", dan is uw Mac veilig. Kortom, het bericht "bestaat niet" betekent dat u schoon bent.
Als je iets anders ziet dan deze berichten, kun je uitchecken F-Secure's gids om de Flashback-trojan te verwijderen.
[via Ars Technica]
