Apple's Mac-platform is al heel lang gepromoot als veiliger dan de concurrentie, maar naarmate Mac-verkopen en marktaandeel toenemen, is het een groter doelwit geworden.

Nergens is dat duidelijker dan met de Flashback-Trojan, een gigantisch stuk malware dat is ontworpen om persoonlijke informatie te stelen door zich te vermaken als zeer gangbare browserplug-ins. Gisteren zei het Russische antivirusbedrijf Dr. Web dat naar schatting 600.000 Macs nu zijn geïnfecteerd als gevolg van het onbewust installeren van de software door gebruikers.

Hier volgt een korte veelgestelde vraag over het Flashback-trojan, inclusief informatie over wat het is, hoe u kunt zien of u het hebt en welke stappen u kunt nemen om er vanaf te komen.

Wat is Flashback precies?

Flashback is een vorm van malware die is ontworpen om wachtwoorden en andere informatie van gebruikers te bemachtigen via hun webbrowser en andere toepassingen zoals Skype. Een gebruiker maakt meestal fouten voor een legitieme browserinvoegtoepassing bij het bezoeken van een kwaadwillende website. Op dat moment installeert de software code die is ontworpen om persoonlijke informatie te verzamelen en deze terug te sturen naar externe servers. In de meest recente incarnaties kan de software zichzelf installeren zonder gebruikersinteractie.

Wanneer is het voor het eerst verschenen?

Flashback zoals we het nu kennen, verscheen eind september vorig jaar en deed zich voor als een installateur van Adobe's Flash, een veelgebruikte plug-in voor het streamen van video en interactieve applicaties die Apple niet meer op zijn computers plaatst. De malware is geëvolueerd om de Java-runtime te targeten op OS X, waar gebruikers die kwaadaardige sites bezoeken, vervolgens worden gevraagd om deze op hun computer te installeren om webinhoud te bekijken. Meer geavanceerde versies zouden stil op de achtergrond worden geïnstalleerd zonder dat er een wachtwoord nodig was.

Hoe infecteerde het zoveel computers?

Het simpele antwoord is dat de software is ontworpen om precies dat te doen. Tijdens de eerste incarnatie leek de malware sterk op het Adobe Flash-installatieprogramma. Het heeft er niet toe bijgedragen dat Apple Flash meer dan een jaar niet op zijn computers heeft gezet, waardoor er waarschijnlijk een pool van gebruikers is ontstaan ​​die eerder het installatieprogramma uitvoeren om populaire websites te bekijken die op Flash draaien. In de nieuwere Java-gerelateerde varianten kan de software zichzelf installeren zonder dat de gebruiker ergens op hoeft te klikken of een wachtwoord moet opgeven.

Wat ook niet hielp, is de manier waarop Apple met Java omgaat. In plaats van alleen de huidige openbare versie van Java te gebruiken, maakt en onderhoudt het bedrijf zijn eigen versies. Het bleek dat de malware-schrijvers een bepaalde kwetsbaarheid misbruikten die Oracle in februari had hersteld. Apple kwam pas in april aan de slag om zijn eigen Java-versie te maken.

Wat heeft Apple eraan gedaan?

Apple heeft zijn eigen malwarescanner ingebouwd in OS X genaamd XProtect. Sinds de lancering van Flashback is de beveiligingstool twee keer bijgewerkt om een ​​handvol Flashback-varianten te identificeren en te beschermen.

Een meer recente versie van de malware raakte echter in de buurt van XProtect door zijn bestanden via Java uit te voeren. Apple heeft op 3 april het belangrijkste toegangspunt van de malware afgesloten met een Java-update en heeft sindsdien een verwijderingshulpprogramma uitgebracht als onderdeel van een latere Java-update.

Merk op dat de beveiligingsoplossingen voor Java alleen beschikbaar zijn op Mac OS X 10.6.8 en hoger, dus als u OS X 10.5 of eerder gebruikt, bent u nog steeds kwetsbaar. Apple is gestopt met het leveren van software-updates voor deze besturingssystemen.

Hoe weet ik of ik het heb?

Op dit moment is de eenvoudigste manier om te bepalen of uw computer is geïnfecteerd, om naar beveiligingsbedrijf F-Secure te gaan en de Flashback-detectie- en verwijderingssoftware te downloaden. Volg de instructies hier om het te krijgen en te gebruiken. Beveiligingsbedrijf Symantec biedt een eigen autonome tool van Norton, die u hier kunt vinden.

Als alternatief kunt u een drietal opdrachten uitvoeren in Terminal, een stukje software dat u kunt vinden in de map Hulpprogramma's in de map Programma's van uw Mac. Als u het wilt vinden zonder te graven, hoeft u alleen maar naar Spotlight te zoeken naar 'Terminal'.

Als u daar eenmaal bent, kopieert en plakt u elk van de onderstaande codestrings in het terminalvenster. De opdracht wordt automatisch uitgevoerd:

standaard lees / Toepassingen / Safari.app/Contents/Info LSEnvironment

standaard lees / Toepassingen / Firewall.app / Inhoud / Info LSEnvironment

standaard lees ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

Als uw systeem schoon is, zullen de commando's u vertellen dat die domein / standaard paren "niet bestaat". Als u geïnfecteerd bent, spuugt het de patch op waar die malware zichzelf op uw systeem heeft geïnstalleerd.

Oh, ik heb het. Hoe verwijder ik het?

Als u een van de bovengenoemde, eerder genoemde hulpprogramma's van F-Secure of Norton gebruikt, wordt de malware automatisch van uw computer verwijderd zonder verdere stappen. Als u om wat voor reden dan ook op uw hoede bent om een ​​van deze hulpprogramma's van derden te gebruiken, biedt Topth Kessler van CNET een stapsgewijze handleiding voor het verwijderen van Flashback vanaf uw Mac. Voor dit proces moet je ook naar Terminal springen en die opdrachten uitvoeren, dan opzoeken waar de geïnfecteerde bestanden zijn opgeslagen en ze vervolgens handmatig verwijderen.

Voor een goede maatregel is het ook een goed idee om uw online wachtwoorden bij financiële instellingen en andere beveiligde services die u mogelijk hebt gebruikt terwijl uw computer is aangetast, te wijzigen. Het is onduidelijk of deze gegevens werden getarget, geregistreerd en verzonden als onderdeel van de aanval, maar het is een slim preventief gedrag dat de moeite waard is om regelmatig te doen.

Gerelateerde verhalen

• De Flashback-malware-remover van Apple is nu live
• Flashback de grootste Mac-malware-bedreiging tot nu toe, zeggen experts
• Meer dan 600.000 Macs besmet met Flashback-botnet
• Java-update voor OS X-patches Gebruik van Flashback-malware
• ZDNet: nieuwe Mac-malware-epidemie maakt gebruik van zwakke punten in het Apple-ecosysteem

Dus nu die fixes hier zijn, ben ik veilig?

In één woord, nee. De Flashback-auteurs hebben zichzelf al geneigd getoond om de malware te blijven veranderen om nieuwe beveiligingsoplossingen te omzeilen.

Het advies van CNET is in de eerste plaats om software alleen te downloaden van vertrouwde bronnen. Dat omvat de sites van bekende en vertrouwde softwaremakers, evenals beveiligde repositories zoals CNET's Download.com. Als een andere vuistregel is het een goed idee om add-ons van derden zo actueel mogelijk te houden zodat deze actueel blijven met eventuele beveiligingsupdates. Als u nog veiliger wilt blijven, blijf dan weg van Java en andere systeem-add-ons, tenzij ze nodig zijn voor een vertrouwd stuk software of een webservice.

CNET blogger Topher Kessler en CNET senior redacteur Seth Rosenblatt hebben bijgedragen aan dit rapport.

Bijgewerkt om 13u40 PT op 5 april met bijgewerkte verwijderingsinstructies. Bijgewerkt op 6 april om 07:44 uur PT met info over een tweede update van Apple en om 13:55 uur PT met informatie over het webgebaseerde detectieprogramma van Dr. Web. Bijgewerkt op 9 april om 12.30 uur PT met onafhankelijke bevestiging dat het formulier van Dr. Web veilig is voor gebruik door mensen. Opnieuw bijgewerkt om 16.00 uur PT op 12 april om kennis te nemen van de release en details van Apple's eigen verwijderingshulpprogramma.