É sempre assim quando saí uma nova praga que afeta milhões de computadores, todos os sites que dizem focar em segurança copiam a mesma notícia, trocando algumas sentenças ou interpretações para passar a mesma coisa ao usuário – olha, a empresa dona do seu sistema operacional fez merda, ela não atualizou o seu brinquedinho que gera bilhões de dólares por ano, e o seu lindo notebook é uma arma para crackers em todo o mundo.

Não seria mais simples falar assim para os usuários ?!, mas não. Li textos de mais de 3 laudas com o mesmo conteúdo sobre a praga BackDoor.Flashback. Muita gente, quer dizer, os usuários de Mac, como eu, ficaram se perguntando  Ué, essa porra não tinha praga alguma, mas agora apareceu essa gripe aviária ? Vcs lembram da correria que a gripe aviária gerou aos hospitais e farmácias em todo mundo, gerando um lucro absurdo à um laboratório que dizia possuir o único remédio capaz de curar a enfermidade.. ?!

Pensei de cara que o BackDoor.Flashback iria se tornar a nova gripe aviaria. Empresas de anti-vírus já lançaram uma série de patches e até mesmo soluções dedicadas, mas cobradas, é claro, para esse trequinho, se podemos denominá-lo assim..

Os usuários de mac devem tomar cuidado com a seguinte tela:

Ela indica que a praga está em seu computador e ela precisa de privilégios do administrador do ambiente, quer dizer, de vc, para poder fazer servir de ferramenta para ferrar com os outros e com vc, é claro.. 🙂

Mas o que devo fazer se a minha linda maçã foi infectada ????? Poucos sites colocaram uma solução clara e eficiente. Eis que eu a encontrei no site da f-secure e os detalhes para sua execução estão logo abaixo. boa sorte:

Manual Removal Instructions

  • 1. Run the following command in Terminal:

    defaults read /Applications/Safari.app/Contents/Info LSEnvironment

  • 2. Take note of the value, DYLD_INSERT_LIBRARIES
  • 3. Proceed to step 8 if you got the following error message:

    “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”

  • 4. Otherwise, run the following command in Terminal:

    grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step2%

  • 5. Take note of the value after “__ldpath__”
  • 6. Run the following commands in Terminal (first make sure there is only one entry, from step 2):

    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

  • 7. Delete the files obtained in steps 2 and 5
  • 8. Run the following command in Terminal:

    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

  • 9. Take note of the result. Your system is already clean of this variant if you got an error message similar to the following:

    “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”

  • 10. Otherwise, run the following command in Terminal:

    grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step9%

  • 11. Take note of the value after “__ldpath__”
  • 12. Run the following commands in Terminal:

    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

    launchctl unsetenv DYLD_INSERT_LIBRARIES

  • 13. Finally, delete the files obtained in steps 9 and 11.
  • 14. Run the following command in Terminal:

    ls -lA ~/Library/LaunchAgents/

  • 15. Take note of the filename. Proceed only when you have one file. Otherwise contact our customer care.
  • 16. Run the following command in Terminal:

    defaults read ~/Library/LaunchAgents/%filename_obtained_in_step15% ProgramArguments

  • 17. Take note of the path. If the filename does not start with a “.”, then you might not be infected with this variant.
  • 18. Delete the files obtained in steps 15 and 17.

Agora, ter uma botnet de 600.000 Macs pelo mundo não é nada mal hein.. Esse é um dos objetivos deste BackDoor.Flashback.

P.S.: Uma galera já veio agradecer o post, mas reclamou que não entendeu porra nenhuma dos comandos acima. Normal e falha a minha. Well para resolver isso, eu acabei encontrando um programa bem interessante, segue o link com o download de uma ferramenta que verifica se você está infectado por esta praga ou não.