Dưới đây là các bước đơn giản giúp bạn kiểm tra máy tính bằng các câu lệnh trong Terminal, cũng như cách gỡ bỏ trojan trong trường hợp bị lây nhiễm.
Mới đây, 600.000 ngàn máy Mac nhiễm trojan Flashback đã bị phát hiện trên toàn cầu. Làm cách nào để biết máy tính của bạn có bị lây nhiễm hay không?
Dưới đây là các bước đơn giản giúp bạn kiểm tra máy tính bằng các câu lệnh trong Terminal, cũng như cách gỡ bỏ trojan trong trường hợp bị lây nhiễm.
Kiểm tra:
Để kiểm tra xem máy có bị nhiễm trojan Flashback hay không, bạn cần chạy Terminal (có thể tìm thấy bằng cách mở Application/Utilities hoặc vào Spotlight và tìm kiếm). Sau đó lần lượt gõ vào 3 câu lệnh sau:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
Nếu các kết quả trả về là như dưới đây thì thật may, máy bạn chưa bị dính botnet:
The domain/default pair of (/Users/jacqui/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
Gỡ bỏ:
Trong trường hợp máy của bạn không may bị nhiễm trojan, hãy tham khảo 18 bước xử lý theo gợi ý của website bảo mật www.f-secure.com:
1. Chạy câu lệnh sau trong Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2. Ghi lại giá trị nhận được, DYLD_INSERT_LIBRARIES
3. Chuyển sang bước 8 nếu bạn nhận được thông báo lỗi như sau:
“The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
4. Nếu không, chạy câu lệnh sau trong Terminal:
grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step2%
5. Ghi lại giá trị sau “__ldpath__”
6. Chạy các câu lệnh sau trong Terminal (first make sure there is only one entry, from step 2):
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
7. Xóa các file nhận được trong bước 2 và 5.
8. Chạy câu lệnh sau trong Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9. Ghi lại kết quả. Hệ thống của bạn đã sạch biến thể này nếu bạn nhận được thông báo lỗi giống như dưới đây:
“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
10. Nếu không, chạy lệnh sau trong Terminal:
grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step9%
11. Ghi lại kết quả sau “__ldpath__”
12. Chạy các câu lệnh sau trong Terminal:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
13. Cuối cùng, xóa các file nhận được trong bước 9 và 11.
14. Chạy câu lệnh sau trong Terminal:
ls -lA ~/Library/LaunchAgents/
15. Ghi lại tên file. Chỉ xử lý khi nhận được tên file. Nếu không, liên lạc với trung tâm chăm sóc khách hàng.
16. Chạy câu lệnh sau trong Terminal:
defaults read ~/Library/LaunchAgents/%filename_obtained_in_step15% ProgramArguments
17. Ghi lại đường dẫn. Nếu tên file không bắt đầu bằng dấu “.”, bạn có thể không bị lây nhiễm biến thể này.
18. Xóa các file đạt được ở bước 15 và 17.
