Flashback Mac App

Mac用戶防Flashback病毒的幾種有效方法

圓石 · 2012-04-11

近期,Flashback病毒如洪水野獸般侵襲了廣大歐美Mac用戶的桌面,幸好我朝人民沒有遭到蹂躪,但防范工作最好做一下,如果某一天小F光臨你家,你都不知道自己的Mac是怎么死滴;首先先來了解一下Flashback病毒的“感染”流程,它是通過?Mac OS X 中 Java 虛擬機的一個漏洞來讓用戶訪問僵尸網(wǎng)絡(luò)(?zombie botnet),然后病毒會自動侵入電腦,將你的Mac也變成一具“Zombie”,雖然聽著恐怖,但擋住它的方法也超easy,來看看幾個主流的解決方法:

方法一. ?改改Mac

  1. 由于Flashback主要以瀏覽器為突破窗口,所以將Safari中的Java禁用即可完全擋住這只巨獸侵入進來,在Safari-偏好設(shè)置-安全中取消勾選“Java”即可。

  2. 如果你的Chrome中帶有Java環(huán)境下的插件,請馬上disable掉!

  3. 如果你平時用Mac只是用來娛樂消遣,做一些簡單使用的話,建議創(chuàng)建一個標準型賬戶(Standard)來使用你的Mac,由于管理員賬戶有被黑的危險,所以這種做法在非常時期比較穩(wěn)妥。

  4. 及時更新Mac系統(tǒng)和安裝的其他軟件

  5. 卸載Adobe Reader,因為Lion自帶的PDF預(yù)覽功能足夠我們用了,Reader這顆定時炸彈最好扔掉。

  6. 最后一步,大義滅親,將Mac中的所有Flash插件和Java環(huán)境卸載掉。

方法二. 傳統(tǒng)辦法-殺毒軟件

1.?ClamXav 2

2.?avast! for Mac

3.?Sophos Anti-Virus for Mac

4.?Kaspersky

5.?Intego VirusBarrier X6

方法三. 高階-Terminal

1. 查找是否存在病毒:

在 Terminal中進入“/Applications/Utilities/”目錄下,輸入

“defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES”

“defaults read /Applications/Safari.app/Contents/Info LSEnvironment”

“defaults read /Applications/Firefox.app/Contents/Info LSEnvironment”

這三行命令分別遍歷查詢了Safari,F(xiàn)irefox中的”Info.plist”文件以及 用戶帳戶內(nèi)的”environment.plist” 文件,就是為了查找是否有被惡意軟件利用的變量,如果命令執(zhí)行后出現(xiàn)”does not exist,” 則代表這種變量是不存在的,系統(tǒng)目前也是安全的,如果有返回變量所在路徑的話,則代表已有惡意軟件對其進行了控制。

最后還有一句命令也非常重要,可以逮住在共享用戶目錄下 .so 文件中隱藏的惡意軟件變種:

ls -la ~/../Shared/.*.so

同樣,不存在的話會返回”no such file or directory” 。

2. 刪除的方法

記錄在第一步發(fā)現(xiàn)的惡意軟件所在完整路徑,執(zhí)行以下命令,并將下面的” FILEPATH“替換為你所記錄的路徑:

grep -a -o ‘ldpath[ -~]*’ FILEPATH

找到這些被感染的文件,進行刪除,如果你沒有找到路徑所指示的文件,可以使用”sudo rm” +“空格”+“文件路徑”進行刪除。這樣基本上惡意軟件就被清除了,但曾經(jīng)被感染的軟件或數(shù)據(jù)仍然需要重置或是“清洗”一遍,需要貼以下命令:

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironmentsudo chmod 644 /Applications/Safari.app/Contents/Info.plist

sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES

defaults read ~/Library/LaunchAgents/com.java.update ProgramArguments

當最后一條執(zhí)行后,記錄下com.java.update.plist的路徑,并刪除它

再執(zhí)行

sudo rm ~/../Shared/.*.so

好了,大功告成!

 

Flashback Mac App
評論