41Mag - Tuto : Comment supprimer, éliminer et désinfecté le cheval de Troie Flashback sous Mac OSx

Tuto : Comment supprimer, éliminer et désinfecté le cheval de Troie Flashback sous Mac OSx

Traduction du tutoriel de F-secure : Tutoriel original (en anglais).

Avant toute manipulation, commencez par tester si votre Mac est infecté par ligne de commandes ou avec l’application FlashBack Checker.

Description du cheval de Troie Flashback

Le cheval de Troie OSX/Flashback.I se connecte à un site distant pour télécharger son contenu. Lorsque l’infection est réussie, le logiciel malveillant modifie les pages Web affichées ciblées dans le navigateur web.

Comment supprimer, éliminer et désinfecté le cheval de Troie Flashback sous Mac OSx

Suppression manuel

Attention: la désinfection manuelle est un processus risqué, elle est recommandé uniquement pour les utilisateurs « avancés ». Sinon, veuillez consulter un professionnel de l’assistance technique.

Les instructions

1. Exécutez la commande suivante dans le Terminal :

1
defaults read /Applications/Safari.app/Contents/Info LSEnvironment

2. Notez la valeur de DYLD_INSERT_LIBRARIES
3. Passez à l’étape 8 si vous obtenez le message d’erreur suivant:

1
"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"

4. Sinon, exécutez la commande suivante dans le Terminal:

1
grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%

5. Notez la valeur après « __ldpath__ »
6. Exécutez les commandes suivantes dans le terminal (vérifiez d’abord qu’il n’y ait qu’une seule entrée, à l’étape 2):

1
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
1
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

7. Supprimer les fichiers obtenus dans les étapes 2 et 5
8. Exécutez la commande suivante dans le Terminal:

1
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

9. Notez le résultat. Votre système est déjà propre de cette variante si vous avez obtenu un message d’erreur semblable au suivant :

1
"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

10. Sinon, exécutez la commande suivante dans le Terminal :

1
grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%

11. Notez la valeur après « __ldpath__ »
12. Exécutez les commandes suivantes dans Terminal :

1
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
1
launchctl unsetenv DYLD_INSERT_LIBRARIES

13. Enfin, supprimez les fichiers obtenus dans les étapes 9 et 11.

14. Effectuez la Mise à jour corrective de Java pour vous protéger du cheval de Troie Flashback

Note : Certaines variantes du cheval de Troie Flashback inclus des composants supplémentaires, qui exigent des mesures supplémentaires pour les supprimer. Veuillez consulter le tutoriel de F-Secure pour en savoir plus (en anglais).

[cadrePTQ]

Article du même thême : ..

Copyright © 2013 | 41Mag. All rights reserved. Contact.
Integrated by Créa-troyes. Powered by WordPress.