Controleer of je Mac besmet is met de Flashback Trojan en verwijder de besmetting

In maart zijn wereldwijd honderdduizenden (en in Nederland duizenden) Mac OS X gebruikers besmet met de Flashback Trojan. Check hieronder of je Mac geïnfecteerd is en hoe je de malware kunt verwijderen.

Ook Macs kunnen besmet worden met virussen, Trojaanse paarden en andere malware. Dat bleek met de uitbraak van de Flashback Trojan in maart, die te wijten was aan een verouderde Java-plugin die Apple veel te laat heeft geüpdated (pas na zeven weken!).

De Flashback Trojan (ook wel Flashfake geheten omdat hij zich voordoet als een download van de Flash-plugin) is schadelijke software die je Mac infecteert en inlijft in een zogeheten botnet, waardoor internet criminelen je Mac kunnen besturen en misbruiken voor diverse doeleinden.

1. Controleer of je Mac besmet is met de Flashback Trojan (er zijn drie manieren maar één is genoeg):
a. Kijk op Flashbackcheck.com van anti-virus bedrijf Kaspersky en zoek de Hardware UUID van je Mac (alleen de cijfers en letters, zonder 'Hardware UUID' ervoor), kopieer die en controleer of je besmet bent.
b. of Download en unzip de FlashbackChecker en voer het programmaatje FlashbackChecker.app uit (via Security.nl).
c. of Controleer handmatig op Flashback Trojan: open de Terminal (Programma's | Hulpprogramma's - Terminal.app) en kopieer de drie onderstaande regels een voor een in de Terminal (en klik Enter):

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Als de uitkomst steeds is 'does not exist' (lees de hele regel door) dan zit je goed. Als wel een pad wordt gegeven dan ben je besmet.

2. Verwijder de Flashback Trojan (ook wel Flashfake genoemd) van je Mac: Kaspersky heeft een gratis removal tool vrijgegeven.
- Download Flashfake removal tool (directe download)
- Unzip het bestand
- Open de Flashfake Removal Tool.app die in je downloadmap (of op je bureaublad) te vinden is
- Check vervolgens je Mac door op Start Scan te klikken

Verder is het belangrijk om de Java-plugin op je Mac te updaten! Installeer dus altijd de laatste updates die Apple aanbiedt! Kijk daarvoor onder Apple-icoon linksboven | Software-update. Ook Macs kunnen besmet raken met virussen en andere malware...

Update 11.30u: Apple is eindelijk met een reactie gekomen op de besmettingen. Het gaat zelf ook een removal tool ontwikkelen voor Mac OS X 10.6 en hoger. Mensen met Mac OS X 10.5 of lager wordt aangeraden Java uit te schakelen in Safari.

Update 12 april: ook beveiligingsbedrijf F-Secure heeft een Flashback Removal Tool vrijgegeven.

Update 13 april: een automatische update van Apple bevat nu ook een verwijdertool die de malware opruimt.

Update 13 april: de removal tool van Kaspersky blijkt bij sommige gebruikers voor problemen te hebben gezorgd. Sinds vanochtend heeft Kaspersky een nieuwe versie online gezet waarin deze zaken verholpen zijn.

Deel dit artikel: 

Reacties

Fagbook Pro: 2000 euro facebook machine. Alleen maar n00bs die niks van technologie weten kopen een Macbook en reken maar dat er meer trojans zijn dan je lief is die je Mac kunnen infecteren ;)

In de eerste plaats: Kaspersky heeft een lekke tool gemaakt - vrij veel Appelaars hebben hierdoor een probleem (zie ook ZDNet).
In de tweede plaats, Apple heeft vandaag een tool uitgebracht, die Java verder dichtspijkert en de meeste (!) versies van de Flashback-backdoor (geen echte trojan!) kan verwijderen.

Overigens vind ik het erg jammer dat zoveel reageerders het nodig vinden om weer eens hun hobbypaard te beklimmen, vaak met nogal doorzichtige vooroordelen.
Zelf heb ik een aantal computers in huis staan, waaronder een iMac, een Linux desktop, een Linux netboekje en een Windows XP desktop.
Elk met z'n eigen voor- en nadelen.
Maar daar ging het in dit draadje toch niet over?

"Your computer is not infected by Flashfake."
wist ik al zonder te controleren :)

"IMPORTANT JAVA UPDATE

We have checked the version of Java installed on your computer and discovered that you are running a vulnerable version. You should update as soon as possible.

We suggest that you use the Mac OS X automatic software update feature."
dat er een kwetsbare versie geïnstalleerd is, betekent nog niet dat die ook gebruikt wordt.
gewoon niet gebruiken, dan ben je al veel veiliger.
wanneer libreoffice vraagt om dit te installeren, zeg ik gewoon nee.

cosmopolitan schrijft,
"dat er een kwetsbare versie geïnstalleerd is, betekent nog niet dat die ook gebruikt wordt."

Als je Java gebruikt, dan updaten.
Als je Java niet gebruikt, dan is het verstandiger 'm te verwijderen. Daarmee voorkom je dat een programma een lekke Java-versie aanroept en je systeem op die manier blootstelt aan kwetsbaarheden.
Daarnaast zal bij een geïnstalleerde Java tevens een Java plug-in in je browser aanwezig zijn. Betreft het een niet-geupdate Java installatie, dan stel je met die plug-in je systeem zéker aan risico's bloot. Bij een niet actuele Java-versie moet je daarom beslist de Java plug-in in de browser uitschakelen, maar Java verwijderen of updaten is nog veel verstandiger.

Op de website staat/stond: "anders dan een Windows computer kan een Mac niet worden geïnfecteerd door virussen en malware". Mogen we even glimlachen om deze arrogantie van Apple en hun gebruikers? Wat overblijft is een veel te dure in slavenarbeid (Foxconn, China) gemaakte computer, die in de basis net zo (on)veilig is als elke andere. Doe mij maar Microsoft, een Windows PC kost de helft en is net zo goed, zo niet beter (open systeem).

Je hebt wel gelijk: Macs zijn zeker niet onkwetsbaar, maar er is wel veel meer malware voor Windows. Verder zou ik Windows niet 'open' willen noemen, dan moet je Linux gaan gebruiken. Maar misschien bedoel je dat er veel meer software van derde partijen voor Windows beschikbaar is.

Reageren

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
Controlevraag tegen spam
zuid-kor_a