Apenas el día de ayer les comentábamos acerca de un antivirus gratuito para Mac y el día de hoy la empresa rusa de seguridad informática Dr. Web ha emitido un comunicado en donde nos informa que un troyano conocido bajo el nombre de Flashback, habría infectado ya a más de 600,000 mil Mac de Apple alrededor de todo el mundo, es decir más de medio millón de máquinas infectadas. Este nuevo troyano aprovecha una falla de seguridad en el módulo de Java de Oracle para engañar al usuario haciéndose pasar como una aplicación web que requiere ser instalada en el ordenador para que una vez teniendo acceso a la misma, infecte aplicaciones como Safari para extraer información personal del usuario.
Entre el medio millón de ordenares Mac infectados, la empresa Dr. Web nos detalla aun más la información informándonos que más del 56.6% de ellos se encuentran en los Estados Unidos, un 19.8% en Canadá y un 12.8% en Reino Unido, 6.1% en Australia El resto de países tienen taza de infección de menos del 1 por ciento en donde se encuentra México con un 0.3%, Francia con un 0.6%, Alemania y España con un 0.4% entre otros más.
En un aspecto bastante curioso, Dr. Web mencionó que inclusive más de 250 ordenadores han sido infectadas en Cupertino (California), ciudad en donde se encuentran los cuarteles generales de Apple.
Ahora bien, ¿cómo se si mi Mac esta infectada? Afortunadamente, el sitio F-Secure realizó un tutorial que a continuación transcribiremos en el cual mediante unos comandos en la terminal podremos detectar si nuestro equipo esta infectado o no y el cómo eliminarlo. Cabe mencionar que F-Secure hace la advertencia que el eliminado de los archivos infectados podría ser un proceso un poco riesgoso para el usuario común sin conocimiento en el área, por lo que será mejor que estén acompañados de alguien con experiencia en el uso de la computadora al momento de seguir estos pasos:
- 1. Ejecutar la siguiente línea de código en la Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
- 2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES
- 3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
- 4. En caso contrario, ejecutar el siguiente comando en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step2
- 5. Nos fijamos en el valor siguiente a “ldpath“
- 6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo haya una entrada, del paso 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
- 7. Borramos los archivos que hemos obtenido en los pasos 2 y 5
- 8. Ejecutamos el siguiente comando en el Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
- 9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente. Si obtenemos un error similar a éste, no hay de qué preocuparnos y terminamos aquí. No hacemos nada más.
“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
- 10. De lo contrario, ejecutamos el comando siguiente en el Terminal:
grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9
- 11. Nos fijamos en el valor que sigue a “ldpath“
- 12. Ejecutamos las órdenes siguientes en el Terminal:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
- 13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.