* Bảo vệ Mac OS X trước Flashback

Trojan Mac OS X: hạ GPU, cày tiền ảoNgười dùng Mac cảnh giác: malware nguy hiểm đã trở lại

Flashback: không cần mật khẩu vẫn lây nhiễm dễ dàng

Theo hãng bảo mật Dr.Web, hơn nửa triệu máy Mac đã trở thành mồi ngon của loại trojan Backdoor.Flashback.39, số lượng tiếp tục tăng nhanh. Tính đến thời điểm hiện tại, con số máy Mac bị nhiễm đã vượt hơn 600.000, tập trung ở Hoa Kỳ, các quốc gia châu Âu và Canada, nơi có số lượng người dùng máy Mac rất lớn.

Theo bản đồ theo dõi sự lây nhiễm của trojan Flashback do Dr.Web công bố, trong hơn 600.000 Apple Mac bị nhiễm, có đến 56,6% tại Hoa Kỳ, nơi có số lượng người dùng Apple Mac lớn nhất trên thế giới. Kế đến là Canada (20%) và Anh (12,8%). Không có số liệu về việc lây nhiễm tại Việt Nam.

Phóng to

Bản đồ mức độ lây nhiễm của Flashback trên toàn thế giới - Nguồn: Dr.Web

Phiên bản đầu tiên của Flashback được phát hiện vào tháng 9-2011, giả dạng thành một tiện ích mở rộng cài đặt kèm theo Adobe Flash Player. Trong biến thể mới được phát hiện cách đây hai tháng, Flashback lại chuyển hướng sang khai thác lỗi bảo mật của Java và chỉ tập trung nhắm tới các máy Apple Mac. Loại trojan này còn có khả năng "tự bảo vệ" bằng cách vô hiệu hóa chức năng cập nhật cơ sở dữ liệu của các trình anti-virus, giúp nó không bị nhận dạng khi quét hệ thống.

Không như những loại trojan khác phải dùng nhiều chiêu thức đánh lừa nạn nhân để có thể thâm nhập hệ thống, người dùng chỉ cần truy cập vào các website có nhúng Flashback trên một hệ thống dùng hệ điều hành Mac OS X cài Java, mã độc sẽ tự động tải về và tự cài đặt. Nạn nhân hoàn toàn bị động.

Sau khi thâm nhập thành công, trojan sẽ "hỏi" mật khẩu quản trị (admin) của hệ thống. Nếu nạn nhân vô tình cung cấp, nó sẽ tiến ngay vào thư mục Applications, "kết thân" ngay với các chương trình "sạch" khác như trình duyệt web FireFox và Safari hay Skype. Khi nạn nhân mở các trình duyệt này để lướt web thì cũng là lúc Flashback được tự do theo dõi, đánh cắp thông tin tài khoản, dữ liệu nhạy cảm từ nạn nhân.

Phóng to

Yêu cầu nhập mật khẩu quản trị để cập nhật phần mềm nhưng thực chất là đòi cấp quyền để thâm nhập sâu hơn vào hệ thống - Nguồn: F-Secure

Trường hợp không được cung cấp mật khẩu, Flashback vẫn tự cài đặt chính mình vào thư mục tài khoản người dùng và tự kích hoạt chung với bất kỳ phần mềm nào được nạn nhân mở ra trên hệ thống. Mức độ nguy hiểm tăng lên nhưng Flashback cũng dễ bị nhận diện trong trường hợp này.

Bảo vệ Mac OS X trước Flashback

Tuy bị giới bảo mật phát hiện đã lâu nhưng Apple vẫn không hề có động tĩnh gì để trợ giúp cho người dùng Mac OS X cho đến ngày hôm qua, 4-4-2012, sau khi thông tin và mức độ nguy hiểm của Flashback bùng nổ trên khắp phương tiện truyền thông. Hai bản vá lỗi Java trong Mac OS X đã được Apple phát hành.

* Tải bản vá:Java cho Mac OS X 10.6 Update 7 và Java cho OS X Lion 2012-001.

Bạn đọc sử dụng OS X cần tải bản vá ngay từ liên kết trên hoặc thông qua chức năng Software Update. Bản vá sẽ nâng cấp phiên bản Java 1.6.0 VM 29 lên bản 1.6.0 VM 31.

Đối với những máy Mac tình nghi có sự hiện diện của Flashback, hãng bảo mật F-Secure đã hướng dẫn khá chi tiết về cách tìm và gỡ bỏ thủ công. Cụ thể như sau:

1. Mở cửa sổ dòng lệnh Terminal, gõ: defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2. Lưu ý giá trị: DYLD_INSERT_LIBRARIES
3. Nếu có thông báo lỗi như bên dưới, bạn chuyển đến bước thứ 8."The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
4. Nếu không, chạy dòng lệnh sau trong Terminal:grep -a -o '__ldpath__[ -~]*' %đường-dẫn_chứa-trong_bước-2%
5. Lưu ý giá trị sau "__ldpath__"
6. Chạy tiếp dòng lệnh trong Terminal (nhưng cần chắc chắn rằng chỉ có một dòng, từ bước 2):sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
7. Xóa các tập tin trong bước 2 và 5
8. Thực thi dòng lệnh sau trong Terminaldefaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9. Lưu ý phần kết quả, hệ thống của bạn đã "sạch" trước biến thể mới này nếu bạn nhận được một thông báo lỗi như bên dưới:"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
10. Nếu không, chạy tiếp dòng lệnh sau trong Terminal:grep -a -o '__ldpath__[ -~]*' %đường-dẫn_chứa-trong_bước-9%
11. Lưu ý phần giá trị sau "__ldpath__"
12. Thực thi dòng lệnh trong Terminaldefaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
13. Cuối cùng, xóa các tập tin trong bước 9 và 11.

Để tìm và diệt các biến thể cũ của Flashback, bạn đọc truy cập tại đây.

Cách khóa Java trong Mac OS X Trong trình duyệt Safari, bạn đọc chỉ cần bỏ chọn phần "Enable Java" trong Safari Preferences - thẻ Security như hình bên dưới. Phóng to Để khóa Java trong hệ điều hành Apple Mac OS X Snow Leopard (10.6), bạn vào theo đường dẫn Applications - Utilities - Java Preferences, bỏ chọn mọi thứ trong thẻ General. Phóng to Phiên bản Mac OS X 10.7 (Lion) không cài đặt sẵn Java.