1

Tema: Como saber si tu Mac está infectada por el trojano Flashback

Tenés que abrir la Terminal y escribir:

      defaults read /Applications/Safari.app/Contents/Info LSEnvironment

Al darle Enter, el resultado debería decir algo como: "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist""

Luego escribis:

     defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

El resultado debería decir algo como: "The domain/default pair of (/Users/ibobx/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

Si los dos resultados son "does not exist" al final, significa que estás a salvo!!!

En caso contrario, estás infectado por el trojano.  Hay una guía de como eliminar el trojano aquí http://www.f-secure.com/v-descs/trojan- … ck_i.shtml

Se algo de programación, de música, de edición de video, un poco de carpintería también, se cocinar, lavar platos, también un par de idiomas, pero sobre todo: sé googlear; eso sí, nada de mecánica..
Soy de Familia, Amigos, Animales, Espiritualidad, y si logicallymente Tecnología... Estoy pasado de peso si, pero también tengo buena fibra porque hago pesas...
Tengo MacBook Em-uan, aiFon Tuelv Prou Max, un aiPed prou segunda gen con pensol, unos erpads prou, an Apl Uach quinta gen, y para androide dev, una tablet Semsung es six, y un Nout Ten...
También una pí-sí AMD Ryzen 9 3900X 12-Core, GPU AMD Radeon RX 5700 XT con Windors y Línu y HTC Vive hooked to it...
Ah, muy importante: Me gusta la cerveza principalmente tipo IPA, y también el Whiskey re-viejo...

Re: Como saber si tu Mac está infectada por el trojano Flashback

THX iBob, yo por ahora estoy a salvo.

3

Re: Como saber si tu Mac está infectada por el trojano Flashback

De nada. Hay que tener cuidado, hasta donde se ya se encontraron mas de 600K ordenadores zombies, y algunos de ellos dentro de la propia mothership de Apple !!!  :-S

Se algo de programación, de música, de edición de video, un poco de carpintería también, se cocinar, lavar platos, también un par de idiomas, pero sobre todo: sé googlear; eso sí, nada de mecánica..
Soy de Familia, Amigos, Animales, Espiritualidad, y si logicallymente Tecnología... Estoy pasado de peso si, pero también tengo buena fibra porque hago pesas...
Tengo MacBook Em-uan, aiFon Tuelv Prou Max, un aiPed prou segunda gen con pensol, unos erpads prou, an Apl Uach quinta gen, y para androide dev, una tablet Semsung es six, y un Nout Ten...
También una pí-sí AMD Ryzen 9 3900X 12-Core, GPU AMD Radeon RX 5700 XT con Windors y Línu y HTC Vive hooked to it...
Ah, muy importante: Me gusta la cerveza principalmente tipo IPA, y también el Whiskey re-viejo...

Re: Como saber si tu Mac está infectada por el trojano Flashback

Gracias Roberto! bueno el chequeo, estoy afuera, pero vale la pena confirmarlo, ha sido duro el golpe...
Salutti

MacbookPro 15 -2019 
MacBookAir 13 i7
iPadAir 64Gb /iPhone 7Plus /iPod5a 30Gb/iPod Touch 32 GB
Apple TV 4
Watch 1

5

Re: Como saber si tu Mac está infectada por el trojano Flashback

Gracias !

6

Re: Como saber si tu Mac está infectada por el trojano Flashback

A salvo. Gracias.

It's not the years in your life that count. It's the life in your years.

Re: Como saber si tu Mac está infectada por el trojano Flashback

Safe..-

"Mac, cambiaste mi vida........
MBP 2022 1, iPhone 14 PRO+ 256GB , Apple watch 8+ SIM y tantos otros chiches..
ACMT- "Apple Certified Mac Technician" & ACiT- "Apple Certified iOS Technician"

8 (editado por PoohMac 05.04.2012 19:08:33)

Re: Como saber si tu Mac está infectada por el trojano Flashback

Buen post  iBob,


Algo que me parece importante decir también, es el método de infección. En la misma pagina que puso iBob se encuentra como se realiza la infección.

Como esta en ingles les dejo traducido esta parte:


Trojan-Downloader: OSX / Flashback.I se instala por applets de Java maliciosos que se aprovechan de la vulnerabilidad Java RE conocida (CVE-2011-3544) .

En la ejecución, el código malicioso le pedirá al usuario confiado la contraseña de administrador. Independientemente de que el usuario introduce la contraseña del administrador, el malware intenta infectar el sistema, la difrencia es el metodo que utilizara para hacerlo.

Si la infección es exitosa, el malware modifica el contenido de ciertas páginas web mostradas por los navegadores, las páginas web específicas dirigidas y los cambios realizados se determinan con base en la información de configuración recuperado por el malware desde un servidor remoto.


Instalación

En la ejecución, el programa malicioso comprueba si la ruta de acceso siguiente existe en el sistema:

/ Library / Little Snitch
/ Developer / Applications / Xcode.app / Contents / MacOS / Xcode
Aplicaciones / VirusBarrier X6.app
Aplicaciones / iAntivirus / iAntiVirus.app
Aplicaciones / avast! De aplicaciones.
Aplicaciones / ClamXav.app
Aplicaciones / HTTPScoop.app
/ Aplicaciones / paquete Peeper.app
Si alguno de éstos se encuentran, el malware se omita el resto de su rutina y proceder borrarse a sí mismo.


Esto ultimo es muy importante dado que son programas conocidos de detección de virus.

Saludos,
PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

9

Re: Como saber si tu Mac está infectada por el trojano Flashback

A mi me da esto el primer test y el segundo lo que ibob decía....

defaults read/Applications/Safari.app/Contents/Info LSEnvironment
Command line interface to a user's defaults.
Syntax:

'defaults' [-currentHost | -host <hostname>] followed by one of the following:

  read                                 shows all defaults
  read <domain>                        shows defaults for given domain
  read <domain> <key>                  shows defaults for given domain, key

  read-type <domain> <key>             shows the type for the given domain, key

  write <domain> <domain_rep>          writes domain (overwrites existing)
  write <domain> <key> <value>         writes key for domain

  rename <domain> <old_key> <new_key>  renames old_key to new_key

  delete <domain>                      deletes domain
  delete <domain> <key>                deletes key in domain

  domains                              lists all domains
  find <word>                          lists all entries containing word
  help                                 print this help

<domain> is ( <domain_name> | -app <application_name> | -globalDomain )
         or a path to a file omitting the '.plist' extension

<value> is one of:
  <value_rep>
  -string <string_value>
  -data <hex_digits>
  -int[eger] <integer_value>
  -float  <floating-point_value>
  -bool[ean] (true | false | yes | no)
  -date <date_rep>
  -array <value1> <value2> ...
  -array-add <value1> <value2> ...
  -dict <key1> <value1> <key2> <value2> ...
  -dict-add <key1> <value1> ...
Yulios-iMac:~ yulio$

significa que me contagié???

10

Re: Como saber si tu Mac está infectada por el trojano Flashback

que es abrir la Terminal==???

&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;

11

Re: Como saber si tu Mac está infectada por el trojano Flashback

@elviro-me: aplicaciones / utilidades / terminal

# VCY5C957Y1 - MacBook Pro [18,3] Apple M1 Pro [8 cpu | 14 gpu]/ 14"/ 32GB/ 512GB SSD/ teclado US/ Sonoma 14.3 [A2442]
# F5203KF9NY - iPad Pro 11"/ 256GB/ IpadOS 17.3.1 [MTXQ2LL/A]
# C39D18G9N6XR - iPhone 11 Pro / 256GB/ IOs 17.3.1 [MW9V2LL/A]

12

Re: Como saber si tu Mac está infectada por el trojano Flashback

Limpio, gracias iBob

13

Re: Como saber si tu Mac está infectada por el trojano Flashback

o.O


pone en el spotlight ... Terminal y vas a ver un icono que se parece a una pantalla negra con esto >_

ahí se te abre ... una ventana negra con done podes escribir

ahí pone "defaults read /Applications/Safari.app/Contents/Info LSEnvironment"  (sin las comillas) y apreta enter

luego haces lo mismo pero poniendo esto " defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES" (sin las comillas) y apretad de nuevo enter


si ambas veces te aparece "does not exist"  no estas infectado/a con el virus.

salu!

PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

14

Re: Como saber si tu Mac está infectada por el trojano Flashback

Significa que estas escribiendo mal la linea, de hecho en lo que pones te falta un espacio entre  "read" y "/Applications?..."


Yuliomac escribió:

A mi me da esto el primer test y el segundo lo que ibob decía....

defaults read/Applications/Safari.app/Contents/Info LSEnvironment
Command line interface to a user's defaults.
Syntax:

'defaults' [-currentHost | -host <hostname>] followed by one of the following:

  read                                 shows all defaults
  read <domain>                        shows defaults for given domain
  read <domain> <key>                  shows defaults for given domain, key

  read-type <domain> <key>             shows the type for the given domain, key

  write <domain> <domain_rep>          writes domain (overwrites existing)
  write <domain> <key> <value>         writes key for domain

  rename <domain> <old_key> <new_key>  renames old_key to new_key

  delete <domain>                      deletes domain
  delete <domain> <key>                deletes key in domain

  domains                              lists all domains
  find <word>                          lists all entries containing word
  help                                 print this help

<domain> is ( <domain_name> | -app <application_name> | -globalDomain )
         or a path to a file omitting the '.plist' extension

<value> is one of:
  <value_rep>
  -string <string_value>
  -data <hex_digits>
  -int[eger] <integer_value>
  -float  <floating-point_value>
  -bool[ean] (true | false | yes | no)
  -date <date_rep>
  -array <value1> <value2> ...
  -array-add <value1> <value2> ...
  -dict <key1> <value1> <key2> <value2> ...
  -dict-add <key1> <value1> ...
Yulios-iMac:~ yulio$

significa que me contagié???

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

15

Re: Como saber si tu Mac está infectada por el trojano Flashback

great... i'm clean smile

# VCY5C957Y1 - MacBook Pro [18,3] Apple M1 Pro [8 cpu | 14 gpu]/ 14"/ 32GB/ 512GB SSD/ teclado US/ Sonoma 14.3 [A2442]
# F5203KF9NY - iPad Pro 11"/ 256GB/ IpadOS 17.3.1 [MTXQ2LL/A]
# C39D18G9N6XR - iPhone 11 Pro / 256GB/ IOs 17.3.1 [MW9V2LL/A]

16

Re: Como saber si tu Mac está infectada por el trojano Flashback

@Pooh: escribiste mal, muchacho... tenés que respetar espacios, puntos, mayúsculas.
Si lo ingresas tal cual funciona.
El error que te dió es un error de sintaxis.

# VCY5C957Y1 - MacBook Pro [18,3] Apple M1 Pro [8 cpu | 14 gpu]/ 14"/ 32GB/ 512GB SSD/ teclado US/ Sonoma 14.3 [A2442]
# F5203KF9NY - iPad Pro 11"/ 256GB/ IpadOS 17.3.1 [MTXQ2LL/A]
# C39D18G9N6XR - iPhone 11 Pro / 256GB/ IOs 17.3.1 [MW9V2LL/A]

17 (editado por PoohMac 05.04.2012 20:49:21)

Re: Como saber si tu Mac está infectada por el trojano Flashback

?? Mr. me parece que no leyó bien el post smile la explicación es para quien ha puesto el post con el "error de sintaxis" por eso esta en "quote"


lea bien mijo lea tongue

Count Zero escribió:

@Pooh: escribiste mal, muchacho... tenés que respetar espacios, puntos, mayúsculas.
Si lo ingresas tal cual funciona.
El error que te dió es un error de sintaxis.

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

18

Re: Como saber si tu Mac está infectada por el trojano Flashback

Gracias  A Todos, Parece Que No Estoy Infectado!!!!

&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;&#63743;

19

Re: Como saber si tu Mac está infectada por el trojano Flashback

ah.. no eras vos... sorry smile

PoohMac escribió:

?? Mr. me parece que no leyó bien el post smile la explicación es para quien ha puesto el post con el "error de sintaxis" por eso esta en "quote"


lea bien mijo lea tongue

Count Zero escribió:

@Pooh: escribiste mal, muchacho... tenés que respetar espacios, puntos, mayúsculas.
Si lo ingresas tal cual funciona.
El error que te dió es un error de sintaxis.

# VCY5C957Y1 - MacBook Pro [18,3] Apple M1 Pro [8 cpu | 14 gpu]/ 14"/ 32GB/ 512GB SSD/ teclado US/ Sonoma 14.3 [A2442]
# F5203KF9NY - iPad Pro 11"/ 256GB/ IpadOS 17.3.1 [MTXQ2LL/A]
# C39D18G9N6XR - iPhone 11 Pro / 256GB/ IOs 17.3.1 [MW9V2LL/A]

20

Re: Como saber si tu Mac está infectada por el trojano Flashback

no  hay drama! me paso mas de una vez  a mi jejejej


abrazo,

PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

21

Re: Como saber si tu Mac está infectada por el trojano Flashback

Gracias por el dato, probado y libre!

Portable: MacBook Pro Retina Display 13.3", Apple TV 3
Phone: iPhone 7 Plus
Music: a lot of mens toys!

22

Re: Como saber si tu Mac está infectada por el trojano Flashback

clean
voy a googlear flashback porque ni idea

23

Re: Como saber si tu Mac está infectada por el trojano Flashback

Safe!

Adicto al aluminio con tecnología adentro.

24

Re: Como saber si tu Mac está infectada por el trojano Flashback

Menos mal que hasta ahora por acá no hay infectados.
Lo interesante es saber que dentro de Apple hubo infectados, como 20 maquinas según reportes.
Aparentemente es todo debido a una vulnerabilidad de JAVA, que ya dicho sea de paso, Apple parcheó en estos días.
smile

Se algo de programación, de música, de edición de video, un poco de carpintería también, se cocinar, lavar platos, también un par de idiomas, pero sobre todo: sé googlear; eso sí, nada de mecánica..
Soy de Familia, Amigos, Animales, Espiritualidad, y si logicallymente Tecnología... Estoy pasado de peso si, pero también tengo buena fibra porque hago pesas...
Tengo MacBook Em-uan, aiFon Tuelv Prou Max, un aiPed prou segunda gen con pensol, unos erpads prou, an Apl Uach quinta gen, y para androide dev, una tablet Semsung es six, y un Nout Ten...
También una pí-sí AMD Ryzen 9 3900X 12-Core, GPU AMD Radeon RX 5700 XT con Windors y Línu y HTC Vive hooked to it...
Ah, muy importante: Me gusta la cerveza principalmente tipo IPA, y también el Whiskey re-viejo...

25

Re: Como saber si tu Mac está infectada por el trojano Flashback

bueno... eso no me parece raro.
supongo de Apple ademas de sus tropas de desarrollo para el software "blanco" digamos, tienen que tener sus "tropas de avanzada" o "tropas viviendo al limite" que prueban, testean, tratan de romper lo "blanco"...
20 maquinas dentro de las miles que deben tener, no es representativo de una infeccion a gran escala.
pero si de una division o segmento de trabajo.
...
en mi imaginario claro... al menos eso es lo que imagino y que me gustaria que fuera.
yo era de esa clase de gente, cuando desarrollaba big_smile

iBob escribió:

...
Lo interesante es saber que dentro de Apple hubo infectados, como 20 maquinas según reportes.
...
smile

# VCY5C957Y1 - MacBook Pro [18,3] Apple M1 Pro [8 cpu | 14 gpu]/ 14"/ 32GB/ 512GB SSD/ teclado US/ Sonoma 14.3 [A2442]
# F5203KF9NY - iPad Pro 11"/ 256GB/ IpadOS 17.3.1 [MTXQ2LL/A]
# C39D18G9N6XR - iPhone 11 Pro / 256GB/ IOs 17.3.1 [MW9V2LL/A]

26

Re: Como saber si tu Mac está infectada por el trojano Flashback

Che, no había visto este post. Muy bueno.

Gracias ibob y pooh por la info. Por ahora sigo limpito.

It's better to be a pirate than join the navy

Mac Studio M1 Max - 32Gb RAM - 512Gb SSD
MacBook Pro 15" w/TouchBar [email protected] - 16Gb RAM - 250Gb SSD
iPhone 13 Pro 128Gb | iPad Air 4 64Gb | Apple Watch Series 8 41mm

27

Re: Como saber si tu Mac está infectada por el trojano Flashback

Ya hay una actualización que soluciona esta vulnerabilidad.

http://support.Apple.com/kb/DL1515

Pueden descargarla del link o si tienen OS X 10.7 instalado, directamente desde la actualización de software.

28

Re: Como saber si tu Mac está infectada por el trojano Flashback

Excelente! muy útil todo! Gracias Bob y Pooh!

Coyote Wireless )))
MacBook Air 13" 1.86GHz SSD :+: Cinema Display 23" :+: AirPortExpress/Extreme :+: Bluetooth Keyb & Mouse :+: Mighty :+: iPod nano :+: Wacom Graphire 3 :+: BeoSound 1 :+: BeoLab 4 & Universal Dock :+: A8 :+: Earset

29

Re: Como saber si tu Mac está infectada por el trojano Flashback

Juanjo:Mac escribió:

Ya hay una actualización que soluciona esta vulnerabilidad.

http://support.Apple.com/kb/DL1515

Pueden descargarla del link o si tienen OS X 10.7 instalado, directamente desde la actualización de software.

Para versiones anteriores de OS X también existe? Estuve mirando pero no encontré nada.

30

Re: Como saber si tu Mac está infectada por el trojano Flashback

De hecho acabo de instalar el patch.

Este es el link sobre el tema http://support.Apple.com/kb/HT1222

Fabrizio, es una vulnerabilidad de Java RE asi que calculo que Apple ara el fix para todos los IOS, si no corre el riesgo de tener muuuuchas maquinas infectadas y no creo que quiera smile





Saludos,

PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989