Macがトロイの木馬ウィルスに感染していないか確認する方法

-

macvirus

Macであやしいサイトみたあととかちょっと心配になってオンラインウィルススキャンとかあるかなって調べてみたらそんなものはなかった。
コマンドでトロイの木馬に感染してるかの確認は簡単にできるらしいから以下その方法。

1〜4までのコマンド1行をそれぞれコピーしてターミナルに貼り付けenter。

1:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2:
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
3:
defaults read /Applications/Chrome.app/Contents/Info LSEnvironment
4:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

返ってくる結果が、
The domain/default pair of (ここにはそれぞれパスが表示される) does not exist

行末がdoes not existであれば問題なし。感染していないことが判明してめでたしめでたし。

does not exitでなければ問題ありなので下記参照。

もし上記のコメントが戻ってこなかった場合、そのMacはFlashbackに感染している可能性がある。その場合は次のことを実行しよう。

上の<1>または<2>のコマンドでコメントが返ってこなかった場合は以下のコマンドを入力する。
defaults read /Applications/Safari.app(<2>の場合はFirefox.app)/Contents/Info LSEnvironment

<3>でコメントが帰ってこなかった場合は、まず、次のコマンドを実行する。
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

感染している場合は、「DYLD_INSERT_LIBRARIES = 」という文字列の後にファイルパス(ファイルの階層情報)が表示されるので、それをメモしよう。
その上で下記のコマンドを実行する。

grep -a -o ‘__ldpath__[ -~]*’ (半角スペースの後に見つかったファイルパスを記述)

さらに、次のそれぞれ2行のコマンドも実行しよう。

<1>の場合は
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

<2>の場合は
sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

<3>の場合は
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES

を実行。これで感染の可能性のあるファイルを除去できるはずだ。

via トロイの木馬「Flashback」に感染しているかを調べたい|MacFan.

コメント

タイトルとURLをコピーしました