[MacOS] Cách kiểm tra xem máy của bạn có bị nhiễm botnet Flashback không?
600.000 ngàn máy Mac dính botnet Flashback trên toàn cầu, không biết bạn có phải là một trong số đó không? Để tìm hiểu thì rất là đơn giản và bạn có thể thử kiểm tra máy mình bằng cách sử dụng các câu lệnh sau trong Terminal. Mình đã thử nhiều máy Mac xung quanh và thật mừng là không máy nào bị cả. Nếu không may mắn và máy bạn bị dính botnet thì có thể sử dụng cách dưới đây để gỡ nó đi. Cuối cùng, hãy chạy Software Update để cập nhật những bản vá mới nhất cho MacOS của mình.
Kiểm tra:
Để kiểm tra xem máy có bị dính botnet Flashback chưa thì bạn cần chạy Terminal (có thể tìm thấy nó trong Application/Utilities hoặc vào Spotlight và tìm kiếm). Sau đó lần lượt gõ 3 câu lệnh sau vào:
- defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
- defaults read /Applications/Safari.app/Contents/Info LSEnvironment
- defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
Nếu các kết quả trả về là như dưới đây thì thật may, máy bạn chưa bị dính botnet:
- The domain/default pair of (/Users/jacqui/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
- The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
- The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
Gỡ bỏ:
Nếu như xui mà bị dính botnet Flashback thì cũng đừng quá lo lắng, website bảo mật www.f-secure.com cũng đã có hướng dẫn cách khác phục tại đây và bạn có thể tham khảo 18 bước này để xử lý cái máy của mình.
Manual Removal Instructions
- 1. Run the following command in Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment- 2. Take note of the value, DYLD_INSERT_LIBRARIES
- 3. Proceed to step 8 if you got the following error message:
"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"- 4. Otherwise, run the following command in Terminal:
grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%- 5. Take note of the value after "__ldpath__"
- 6. Run the following commands in Terminal (first make sure there is only one entry, from step 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist- 7. Delete the files obtained in steps 2 and 5
- 8. Run the following command in Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES- 9. Take note of the result. Your system is already clean of this variant if you got an error message similar to the following:
"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"- 10. Otherwise, run the following command in Terminal:
grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%- 11. Take note of the value after "__ldpath__"
- 12. Run the following commands in Terminal:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES- 13. Finally, delete the files obtained in steps 9 and 11.
- 14. Run the following command in Terminal:
ls -lA ~/Library/LaunchAgents/- 15. Take note of the filename. Proceed only when you have one file. Otherwise contact our customer care.
- 16. Run the following command in Terminal:
defaults read ~/Library/LaunchAgents/%filename_obtained_in_step15% ProgramArguments- 17. Take note of the path. If the filename does not start with a ".", then you might not be infected with this variant.
- 18. Delete the files obtained in steps 15 and 17.