Home > ユーティリティ セキュリティ > 60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法

60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法

Flashbackとは何か

Flashbackとは、Flashプレーヤーのインストーラーに見せかけて自身をインストールさせ、個人情報を盗むことから命名されたトロイの木馬です。

初期のFlashbackはユーザーのインストール操作が必要で気を付けていれば感染が防げる物でしたが、最近ではJavaの脆弱性を利用してクリックのみで感染するようになり、英語圏で被害が拡大しています。

map2_en

Flashbackに感染している日本国内のユーザーは全体の0.1%らしいので過度に心配することはありませんが、個人情報を盗まれたり、システムが不安定になることもあるのでこの機会に自分のMacは感染していないか調べておきましょう。

エフセキュアブログ : (Mac)Flashbackはあるか?
Flashback感染を見つける方法に関する情報を提供する ...

上記サイトに詳しい解説があるので参考にしつつ、書いていきます。

Flashbackに感染しているか調べる

感染経路は二つあり、それぞれ別の方法で調べます。

第1のタイプの感染

以下のコマンドをターミナルで実行します。

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

実行して以下のようなエラーメッセージが表示されたら、そのMacは感染していません。

The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist

SafariかFirefox経由で感染するので他のWebブラウザは現段階では調べる必要がありません。

第2のタイプの感染

以下のコマンドをターミナルで実行します。

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

実行して以下のようなエラーメッセージが表示されたら、そのMacは感染していません。

The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Flashbackを除去する

上記のコマンドを試してエラーメッセージ以外が表示されたら、そのMacはFlashbackに感染しています。

以下の手順に従いFlashbackを除去しましょう。

  1. 第1のタイプの感染しているならば(%browser%はSafariかFirefoxに置き換える)

    defaults read /Applications/%browser%.app/Contents/Info LSEnvironment
    第2のタイプで感染しているならば
    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    を実行

  2. 1の結果から「DYLD_INSERT_LIBRARIES」の記述を探し指定されているファイルパスをメモする

  3. 2でメモしたファイルパスを%path_from_previous_step%に当てはめ、以下のコマンドを実行する

    grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%

  4. 結果からリストアップされたファイルパスをメモする。
  5. 2と4でメモしたファイルを削除する
  6. 第1のタイプの感染しているならば
    sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
    sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist
    第2のタイプで感染しているならば
    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    launchctl unsetenv DYLD_INSERT_LIBRARIES
    を実行する

感染経路をふさぐ

FlashbackはJavaの脆弱性をついて感染します。

セキュリティアップデートによりJavaを常時最新のものにしておくか、SafariとFirefoxでJavaを無効にしておけば感染を防げます。

関連記事
この記事を共有する
  • このエントリーをはてなブックマークに追加
  • Clip to Evernote
Related Posts Plugin for WordPress, Blogger...
このエントリーに付けられたカテゴリ&タグの記事
loading...

Comments: 0

Comment Form
Only inform the site author.

Trackback+Pingback: 0

TrackBack URL for this entry
http://veadardiary.blog29.fc2.com/tb.php/3809-d9c7e8af
Listed below are links to weblogs that reference
60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法 from Macの手書き説明書

Home > ユーティリティ セキュリティ > 60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法

ブログ内検索


SPONSORED LINK

Mac App Storeランキング(有料)
Mac App Storeランキング(無料)
About Me





サンドイッチの魔法 - Single
サンドイッチの魔法 - Single
ニ月ココノカ
価格: 150円
iTunesで見る
posted with sticky on 2012.7.15
星空マイル - Single
星空マイル - Single
ニ月ココノカ
価格: 150円
iTunesで見る
posted with sticky on 2012.10.9





あわせて読みたい

Creative Commons License
Macの手書き説明書 is licensed under a Creative Commons 表示-継承 2.1 日本 License.

今月の人気記事
最近のコメント
カテゴリー
Tree-Arcive

Return to page top