[TUTO] : Détecter et nettoyer le malware FlashBack sur Mac

Posted on by eMxPi

Je vous relaie ici un tutoriel bien pratique que j’ai pu lire ce matin sur le site de Korben. Il va vous permettre de savoir si votre Mac a été infecté par le premier malware FlashBack et surtout comment réparer le soucis.

 

Attention, cette manipulation (surtout le nettoyage) est réservée aux utilisateurs avancés, pensez à faire une sauvegarde Time-machine avant !

Pour la détection, la méthode est simple : il suffit d’exécuter les commandes suivantes :

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment (à noter que vous pouvez remplacer Safari ou Firefox par votre navigateur préféré)
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si le résultat de chacune d’entre elles dit :

The domain/default pair of (…) does not exist

alors votre mac est nickel et a été épargné par le malware. Si ce n’est pas le cas, ne paniquez pas et suivez la méthode de F-Secure pour l’éradiquer :

  1. Si c’est la commande defaults read /Applications/Safari.app/Contents/Info LSEnvironment qui vous retournait quelque chose, notez la valeur de DYLD_INSERT_LIBRARIES,
  2. exécutez alors la commande : grep -a -o ‘__ldpath__[ -~]*’ %valeur_de_DYLD_INSERT_LIBRARIES% 
  3. Notez bien la valeur retournée par la commande précédente
  4. exécutez ensuite :

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment 

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist 

==> supprimez ensuite les fichiers précédemment créés.

  1. Si c’est la commande defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES  qui vous retournait quelque chose, notez la valeur de DYLD_INSERT_LIBRARIES,
  2. exécutez alors la commande : grep -a -o ‘__ldpath__[ -~]*’ %valeur_de_DYLD_INSERT_LIBRARIES% 
  3. Notez bien la valeur retournée par la commande précédente
  4. exécutez ensuite :

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES

==> supprimez ensuite les fichiers précédemment créés.

 

Il ne vous reste plus qu’à adapter les commandes avec vos autres navigateurs.

 

 

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.