Mac業界の最新動向はもちろん、読者の皆様にいち早くお伝えしたい重要な情報、
日々の取材活動や編集作業を通して感じた雑感などを読みやすいスタイルで提供します。

Mac Fan メールマガジン

掲載日:

トロイの木馬「Flashback」に感染しているかを調べたい

著者: Mac Fan編集部

トロイの木馬「Flashback」に感染しているかを調べたい

Flashbackは、不正なWEBサイトに誘導してニセモノのFlash Playerのインストールを促し、感染させる。怪しいWEBサイトなどではFlash Playerのインストール操作を行わず、アドビ システムズのWEBサイトでバージョンアップしよう。

また、すでに感染しているのでは?と不安な人は、[ユーティリティ]フォルダ内にある「ターミナル」を起動して、以下の3つのコマンドを入力してみよう。

tips120410_01.jpg

<1>

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

<2>

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

<3>

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

それぞれのコマンドに対して次のコメント(文字列)が返ってきたら、感染はしていない。

<1>

The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist

<2>

The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist

<3>

The domain/default pair of (/Users/ユーザ名/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

もし上記のコメントが戻ってこなかった場合、そのMacはFlashbackに感染している可能性がある。その場合は次のことを実行しよう。

上の<1>または<2>のコマンドでコメントが返ってこなかった場合は以下のコマンドを入力する。

defaults read /Applications/Safari.app(<2>の場合はFirefox.app)/Contents/Info LSEnvironment

<3>でコメントが帰ってこなかった場合は、まず、次のコマンドを実行する。

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

感染している場合は、「DYLD_INSERT_LIBRARIES = 」という文字列の後にファイルパス(ファイルの階層情報)が表示されるので、それをメモしよう。

その上で下記のコマンドを実行する。

grep -a -o ‘__ldpath__[ -~]*’ (半角スペースの後に見つかったファイルパスを記述)

さらに、次のそれぞれ2行のコマンドも実行しよう。

<1>の場合は

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

<2>の場合は

sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

<3>の場合は

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES

を実行。これで感染の可能性のあるファイルを除去できるはずだ。

FlashbackはJavaの脆弱性を狙って動作するので、先日アップルから提供されたJavaの最新版へのアップデートも忘れず行おう。