Cómo eliminar Flashback desde tu Mac en caso de estar infectado

En las dos entradas anteriores hemos explicado en detalle cómo funciona el malware Flashback, cómo determinar si un ordenador Mac está infectado y además cómo evitar ser infectado en caso de no estarlo. Sin embargo, todavía falta un elemento a explicar: ¿Cómo eliminar Flashback de un Mac ya infectado?

Pero antes de explicar el proceso de eliminación del malware, creo pertinente repetir cuál es el objetivo final de Flashback.

Básicamente, Flashback se conecta a un sitio remoto para descargar su carga útil, y una vez lograda con éxito la infección, el malware modifica páginas web específicas que se muestran en el navegador web, a la vez que hurta algunos datos de usuario básicos como nombres de usuario, contraseñas, perfiles de red y otros datos de configuración.

Cuando el malware está ejecución, lo primero que hace es pedirle al usuario confiado la contraseña de administrador. Independientemente de si el usuario introduce o no la contraseña del administrador, el malware intenta infectar el sistema, pero el hecho de introducir la contraseña simplemente facilita o agiliza el proceso de infección.

Si la infección es exitosa, el malware modifica el contenido de ciertas páginas web mostradas por los navegadores web, las páginas web específicas y los cambios realizados por el malware serán determinados basándose en la información de configuración recuperada por el malware desde un servidor remoto.

Ahora bien, si tu ordenador ya ha sido infectado, lo importante es saber cómo eliminar la amenaza y para ello también hay varios métodos.

Método fácil: aplicaciones anti-malware

Para eliminar Flashback de tu ordenador Mac, puedes utilizar cualquiera de las aplicaciones anti-malware disponibles de forma gratuita en la Mac App Store. Por ejemplo, puedes utilizar una aplicación gratuita llamada Dr. Web Light desarrollada por la misma compañía que descubrió el malware.

Si quieres más opciones gratuitas también puedes utilizar BitDefender, VirusBarrier Express, Clamxav o Sophos.

Método menos fácil: eliminación manual

La compañía se seguridad informática F-Secure ha publicado un breve tutorial a través del cual explican cómo eliminar manualmente Flashback de un ordenador Mac infectado. A continuación detallamos los pasos a seguir:

Paso 1. Ejecute el siguiente comando en la terminal:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

Paso 2. Toma nota del valor, DYLD_INSERT_LIBRARIES

Paso 3. Salta al paso 8 si recibes el siguiente mensaje de error:

"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"

Paso 4. De lo contrario, ejecute el comando siguiente en la terminal:

grep -a -o '__ldpath__[-~]*'%ruta obtenida en el paso 2%

Paso 5. Toma nota del valor después de "__ldpath__"

Paso 6. Ejecute los siguientes comandos en la terminal (primero asegúrate de que sólo hay una entrada, desde el paso 2):

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

Paso 7. Borre los archivos obtenidos en los pasos 2 y 5

Paso 8. Ejecute el siguiente comando en la terminal:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Paso 9. Toma nota del resultado. El sistema ya está limpio de esta variante, si tienes un mensaje de error similar al siguiente:

"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

Paso 10. De lo contrario, ejecute el comando siguiente en la terminal:

grep -a -o '__ldpath__[-~]*'%aquí va la ruta obtenida en el paso 9%

Paso 11. Tome nota del valor después de "__ldpath__"

Paso 12. Ejecute los siguientes comandos en el Terminal:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES

Paso 13. Por último, elimina los archivos obtenidos en los pasos 9 y 11.

Independientemente del método que uses, una vez finalizado el proceso de eliminación del malware, el siguiente paso es actualizar es aplicar el parche publicado por Apple para eliminar la vulnerabilidad en Java. Puedes ver el proceso de actualización aquí.

About Domadis Cabrera

Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.

Últimos comentarios

  1. Antivirus windows 8 30 enero, 2013

Deja tu respuesta

d74ca0a187f0ec6b40686c25dcd3d262557c7e84d8ef45591f