![Cómo saber si estamos infectados por Flashback y cómo eliminarlo [Actualizado]](https://i.blogs.es/7594aa/flashback-troyano/450_1000.webp)
Ayer comentábamos en esta entrada que Flashback, un troyano que se aprovechaba de una vulnerabilidad de Java, había infectado muchísimos ordenadores (600.000) Mac. Para evitar que pudiera producirse dicho problema había salido un parche de seguridad para Java que también comentamos ayer. En los comentarios escribí más información acerca de cómo saber si nuestro Mac estaba afectado por Flashback y cómo solucionarlo, pero creo que es mejor aclararlo en una entrada adicional. También al final de la entrada veremos qué es lo que hace Flashback y qué pasos sigue.
Tras el salto vemos qué pasos hay que dar tanto para su detección como para eliminar el dichoso troyano, así como su funcionamiento.
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
<li><strong>3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8:
“The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”</strong></li>
grep -a -o ‘<i>ldpath</i>[ -~]*’ <span>path_obtained_in_step2</span>
<li><strong> 6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2):</strong></li>
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
<li> <strong>8. Ejecutamos el siguiente comando en el Terminal:</strong>
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
grep -a -o ‘<i>ldpath</i>[ -~]*’ <span>path_obtained_in_step9</span>
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
¿Cómo funciona Flashback?
En la página de F-Secure anteriormente mencionada también podemos ver más información acerca de cómo actua Flashback. Cómo todos los troyanos, lo primero que hace es intentar conseguir permisos de administrador, para lo cual nos pedirá nuestro usuario y contraseña de administrador. Si se lo damos el malware hace una serie de comprobaciones en nuestro sistema para instalarse. Su objetivo, modificar el contenido de algunas páginas web en nuestro navegador. De esta forma, podría por ejemplo redirigirnos a una página parecida y mostrar la información para conseguir nuestro usuario y contraseña en determinados sitios.
Lo gracioso del caso es que si tenemos determinados programas instalados en nuestro Mac, el malware simplemente se borra y desaparece sin dejar rastro. Es el caso de Little Snitch, XCode, y algunos paquetes de antivirus. Si lo logra, se lo comunicará a esta url: h t t p ://95.215.63.38/stat_d/ y, en caso contrario, a esta otra: h t t p ://95.215.63.38/stat_n/
Si no le damos nuestra contraseña de usuario, hace algunas comprobaciones más, como ver si tenemos instalado Word, Office 2008, Office 2011 o Skype, debe ser porque son incompatibles de alguna forma con los pasos que hará a continuación, que es intentar infectar los archivos binarios y comunicar su éxito a esta dirección web: h t t p : / / 95.215.63.38/stat_u/.
Si habéis hecho los pasos anteriores y vuestro Mac no ha sido afectado, recordad que tenéis que instalar la actualización de seguridad o bien actualizar Java para evitar que ocurra.
Actualización: Podéis descargar una pequeña aplicación que nos indica si estamos infectado de forma rápida, sin necesidad de recurrir al Terminal. El enlace de descarga a FlashbackChecker
En Applesfera | Flashback, un troyano que afecta a 600.000 Mac en todo el mundo
Ver 49 comentarios