Tecnologia

Malware Mac Flashback: o que é e como se livrar dele (FAQ)

A plataforma Mac da Apple tem sido promovido como mais seguro que a concorrência, mas como Vendas e participação de mercado do Mac crescer, tornou-se um alvo maior.

Em nenhum lugar isso é mais claro do que com o Flashback Trojan, um malware retorcido projetado para roubar informações pessoais disfarçando-se de plug-ins de navegador muito populares. Ontem, a empresa russa de antivírus Dr. Web disse que estima-se que 600.000 Macs estão infectados como resultado de usuários inadvertidamente instalarem o software.

Então, aqui está um rápido FAQ sobre o Trojan Flashback, incluindo informações sobre o que é, como saber se você o possui e as etapas que você pode seguir para se livrar dele.

O que exatamente é Flashback?
Flashback é uma forma de malware projetada para obter senhas e outras informações de usuários por meio de seu navegador da Web e outros aplicativos, como o Skype. Um usuário normalmente o confunde com um plug-in de navegador legítimo ao visitar um site mal-intencionado. Nesse ponto, o software instala o código projetado para coletar informações pessoais e enviá-las de volta para servidores remotos. Em suas versões mais recentes, o software pode se instalar sem a interação do usuário.



  Uma versão anterior do Trojan Flashback's installer.

Quando apareceu pela primeira vez?
Flashback como o conhecemos agora apareceu perto do final de setembro do ano passado, fingindo ser um instalador do Flash da Adobe , um plug-in amplamente usado para streaming de vídeo e aplicativos interativos que a Apple não envia mais em seus computadores. O malware evoluiu para atingir o Java Runtime no OS X, onde os usuários que visitam sites maliciosos seriam solicitados a instalá-lo em sua máquina para visualizar o conteúdo da Web. Versões mais avançadas seriam instaladas silenciosamente em segundo plano, sem necessidade de senha.

Como ele infectou tantos computadores?
A resposta simples é que o software foi projetado para fazer exatamente isso. Em sua encarnação inicial, o malware parecia muito semelhante ao instalador do Flash da Adobe. Não ajudou que a Apple não enviou o Flash em seus computadores por mais de um ano, possivelmente criando um grupo de usuários mais propensos a executar o instalador para visualizar sites populares que rodam em Flash. Em suas variantes mais recentes relacionadas ao Java, o software pode se instalar sem que o usuário precise clicar em nada ou fornecer uma senha.

O que também não ajudou é a forma como a Apple lida com o Java. Em vez de simplesmente usar a versão pública atual do Java, a empresa cria e mantém suas próprias versões. Acontece que os criadores de malware exploraram uma vulnerabilidade específica que a Oracle corrigiu em fevereiro. A Apple não chegou a corrigindo sua própria versão Java até abril.

O que a Apple fez sobre isso?
A Apple tem seu próprio scanner de malware embutido no OS X chamado XProtect. Desde o lançamento do Flashback, a ferramenta de segurança foi atualizado duas vezes para identificar e proteger contra várias variantes de Flashback.

Uma versão mais recente do malware, no entanto, contornou o XProtect executando seus arquivos por meio de Java. A Apple fechou o principal ponto de entrada do malware com um Atualização do Java em 3 de abril , e desde então lançou uma ferramenta de remoção como parte de uma atualização Java subsequente.

É importante observar que as correções de segurança do Java estão disponíveis apenas no Mac OS X 10.6.8 e posterior, portanto, se você estiver executando o OS X 10.5 ou anterior, ainda estará vulnerável. A Apple parou de fornecer atualizações de software para esses sistemas operacionais.

Como posso saber se tenho?
Neste momento, a maneira mais fácil de saber se o seu computador foi infectado é dirigir-se à empresa de segurança F-Secure e baixar seu Detecção e remoção de flashback Programas. Siga as instruções aqui sobre como obtê-lo e usá-lo. A empresa de segurança Symantec oferece sua própria ferramenta autônoma da marca Norton, que você pode obter aqui .

Alternativamente, você pode executar um trio de comandos no Terminal, um software que você encontrará na pasta Utilitários na pasta Aplicativos do seu Mac. Se você quiser encontrá-lo sem cavar, basta fazer uma busca Spotlight por 'Terminal'.

Uma vez lá, copie e cole cada uma das strings de código abaixo na janela do terminal. O comando será executado automaticamente:

padrões lidos /Applications/Safari.app/Contents/Info LSEnvironment
padrões lidos /Applications/Firefox.app/Contents/Info LSEnvironment
os padrões lêem ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Se o seu sistema estiver limpo, os comandos informarão que esses pares de domínio/padrão 'não existem'. Se você estiver infectado, ele lançará o patch para onde o malware se instalou em seu sistema.

Ah, eu tenho. Como faço para removê-lo?
Usando uma das ferramentas acima mencionadas da F-Secure ou do Norton, você se livrará automaticamente do malware do seu computador sem mais etapas. Se você está, por algum motivo, desconfiado de usar uma dessas ferramentas de terceiros, Topher Kessler da CNET fornece um guia passo a passo sobre como remover flashback do seu Mac. Esse processo também requer entrar no Terminal e executar esses comandos, rastrear onde os arquivos infectados estão armazenados e excluí-los manualmente.

Para uma boa medida, também é uma boa ideia alterar suas senhas online em instituições financeiras e outros serviços seguros que você possa ter usado enquanto seu computador estava comprometido. Não está claro se esses dados estavam sendo direcionados, registrados e enviados como parte do ataque, mas é um comportamento preventivo inteligente que vale a pena fazer regularmente.

Histórias relacionadas

Então, agora que as correções estão aqui, estou seguro?
Em uma palavra, não. Os autores do Flashback já se mostraram inclinados a continuar alterando o malware para evitar novas correções de segurança.

O conselho da CNET é principalmente baixar qualquer software apenas de fontes confiáveis. Isso inclui os sites de fabricantes de software conhecidos e confiáveis, bem como repositórios bem protegidos, como CNET's Download.com . Além disso, como outra regra geral, é uma boa ideia manter os complementos de terceiros o mais atualizados possível para se manter atualizado com as atualizações de segurança. Se você quiser ficar ainda mais seguro, fique longe do Java e de outros complementos do sistema, a menos que sejam necessários para um software confiável ou um serviço da Web.

O blogueiro da LEXO, Topher Kessler, e o editor sênior da LEXO, Seth Rosenblatt, contribuíram para este relatório.

Atualizada às 13h40 PT em 5 de abril com instruções de remoção atualizadas. Atualizado em 6 de abril às 7h44 PT com informações sobre uma segunda atualização da Apple e às 13h55. PT com informações sobre o utilitário de detecção baseado na Web do Dr. Web. Atualizado em 9 de abril às 12h30. PT com confirmação independente de que o formulário do Dr. Web é seguro para as pessoas usarem. Atualizado mais uma vez às 16h. PT em 12 de abril para observar o lançamento e detalhes da própria ferramenta de remoção da Apple.