近期,Flashback病毒如洪水野兽般侵袭了广大欧美Mac用户的桌面,幸好我朝人民没有遭到蹂躏,但防范工作最好做一下,如果某一天小F光临你家,你都不知道自己的Mac是怎么死滴;首先先来了解一下Flashback病毒的“感染”流程,它是通过 Mac OS X 中 Java 虚拟机的一个漏洞来让用户访问僵尸网络( zombie botnet),然后病毒会自动侵入电脑,将你的Mac也变成一具“Zombie”,虽然听着恐怖,但挡住它的方法也超easy,来看看几个主流的解决方法:
方法一. 改改Mac
由于Flashback主要以浏览器为突破窗口,所以将Safari中的Java禁用即可完全挡住这只巨兽侵入进来,在Safari-偏好设置-安全中取消勾选“Java”即可。
如果你的Chrome中带有Java环境下的插件,请马上disable掉!
如果你平时用Mac只是用来娱乐消遣,做一些简单使用的话,建议创建一个标准型账户(Standard)来使用你的Mac,由于管理员账户有被黑的危险,所以这种做法在非常时期比较稳妥。
及时更新Mac系统和安装的其他软件
卸载Adobe Reader,因为Lion自带的PDF预览功能足够我们用了,Reader这颗定时炸弹最好扔掉。
最后一步,大义灭亲,将Mac中的所有Flash插件和Java环境卸载掉。
方法二. 传统办法-杀毒软件
1. ClamXav 2
4. Kaspersky
方法三. 高阶-Terminal
1. 查找是否存在病毒:
在 Terminal中进入“/Applications/Utilities/”目录下,输入
“defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES”
“defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
“defaults read /Applications/Firefox.app/Contents/Info LSEnvironment”
这三行命令分别遍历查询了Safari,Firefox中的”Info.plist”文件以及 用户帐户内的”environment.plist” 文件,就是为了查找是否有被恶意软件利用的变量,如果命令执行后出现”does not exist,” 则代表这种变量是不存在的,系统目前也是安全的,如果有返回变量所在路径的话,则代表已有恶意软件对其进行了控制。
最后还有一句命令也非常重要,可以逮住在共享用户目录下 .so 文件中隐藏的恶意软件变种:
ls -la ~/../Shared/.*.so
同样,不存在的话会返回”no such file or directory” 。
2. 删除的方法
记录在第一步发现的恶意软件所在完整路径,执行以下命令,并将下面的” FILEPATH“替换为你所记录的路径:
grep -a -o ‘ldpath[ -~]*’ FILEPATH
找到这些被感染的文件,进行删除,如果你没有找到路径所指示的文件,可以使用”sudo rm” +“空格”+“文件路径”进行删除。这样基本上恶意软件就被清除了,但曾经被感染的软件或数据仍然需要重置或是“清洗”一遍,需要贴以下命令:
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironmentsudo chmod 644 /Applications/Safari.app/Contents/Info.plist
sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
defaults read ~/Library/LaunchAgents/com.java.update ProgramArguments
当最后一条执行后,记录下com.java.update.plist的路径,并删除它
再执行
sudo rm ~/../Shared/.*.so
好了,大功告成!
![修改Host文件屏蔽指定网站[Mac Lion]](https://www.waerfa.com/images/lWOJX.png)
