トロイの木馬「Flashback」に感染しているかを調べたい|MacFan

便利技 他人事Tips

トロイの木馬「Flashback」に感染しているかを調べたい

文●編集部

「Flash Player」のインストーラに見せかけた「Flashback」と呼ばれるトロイの木馬タイプのウイルスが出回っており、全世界で60万台以上のMacが感染しているという。自分のMacが大丈夫か気になる人は、次の方法で調べてみよう。

Flashbackは、不正なWEBサイトに誘導してニセモノのFlash Playerのインストールを促し、感染させる。怪しいWEBサイトなどではFlash Playerのインストール操作を行わず、アドビ システムズのWEBサイトでバージョンアップしよう。

また、すでに感染しているのでは?と不安な人は、[ユーティリティ]フォルダ内にある「ターミナル」を起動して、以下の3つのコマンドを入力してみよう。

tips120410_01.jpg
<1>
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
<2>
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
<3>
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

それぞれのコマンドに対して次のコメント(文字列)が返ってきたら、感染はしていない。
<1>
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
<2>
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
<3>
The domain/default pair of (/Users/ユーザ名/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

もし上記のコメントが戻ってこなかった場合、そのMacはFlashbackに感染している可能性がある。その場合は次のことを実行しよう。

上の<1>または<2>のコマンドでコメントが返ってこなかった場合は以下のコマンドを入力する。
defaults read /Applications/Safari.app(<2>の場合はFirefox.app)/Contents/Info LSEnvironment


<3>でコメントが帰ってこなかった場合は、まず、次のコマンドを実行する。
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

感染している場合は、「DYLD_INSERT_LIBRARIES = 」という文字列の後にファイルパス(ファイルの階層情報)が表示されるので、それをメモしよう。
その上で下記のコマンドを実行する。

grep -a -o '__ldpath__[ -~]*' (半角スペースの後に見つかったファイルパスを記述)

さらに、次のそれぞれ2行のコマンドも実行しよう。

<1>の場合は
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

<2>の場合は
sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

<3>の場合は
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES

を実行。これで感染の可能性のあるファイルを除去できるはずだ。

FlashbackはJavaの脆弱性を狙って動作するので、先日アップルから提供されたJavaの最新版へのアップデートも忘れず行おう。