【Mac】ウイルスに感染しているか? コマンドでチェックする方法

トロイの木馬やiWormは、三者がパソコンを勝手に操作できるようにするマルウェアです。

主にフリーなどから感染するケースが多く感染すると、
PCの中身を勝手に変えられる、個人情報やクレジットカード(ネット銀行など)情報を盗まれる、ホームページの閲覧履歴を盗まれるなどの被害があります。

トロイの木馬「Flashback」に感染しているか?チェックする方法

ターミナルを起動↓を入力

safariの場合:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment

firefoxの場合:
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Chromeの場合:
defaults read /Applications/Chrome.app/Contents/Info LSEnvironment

*結果

返ってきた結果がなら↓こちらなら感染していません。
does not existが安心のキーワード)

The domain/default pair of (/Applications/safari.app/Contents/Info, LSEnvironment) does not exist

*更にチェック

感染タイプが2種類あるそうで。。。

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

*結果

返ってきた結果が↓こちらなら感染していません。
does not existが安心のキーワード)

The domain/default pair of (/Users/ログインしているユーザー名/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist


▼参考
http://korobehashire.blog86.fc2.com/blog-entry-417.html
http://matome.naver.jp/odai/2133367925623806701

iWormの感染チェック方法

世界中の1万7000台を超えるMacが「iWorm」に感染していることが判明。
バックドア機能を持っていて勝手にポートを開きリモートに接続、これにより外部から操られる状態になってしまいます。

ターミナルを起動↓を入力

cd /Library/Application Support/JavaW

*結果

返ってきた結果が↓こちらなら感染していません。
(ファイルが存在しない No such file or directory ならOK)

-bash: cd: /Library/Application: No such file or director

*Finderでもチェックできます。

Finder → 移動 → フォルダへ移動 → 「/Library/Application Support/JavaW」を入力して移動

*結果

フォルダが存在して移動できたら、感染しているとみられます。


*対処(削除)方法

ターミナルを再起動後、

1.
↓findコマンドで検索。(パスワード聞かれるのでPC起動時のPW入力)

sudo find / -name "JavaW"

2.
JavaWが見つかった場合、下記コマンド削除する。

sudo find / -name "JavaW" -print -exec rm -rf {} ";"

*コマンドは実行すると、確認無しに対象ファイルやディレクトリが削除されます。
検索したものが”JavaW”である事を確認の上実行する事。



▼参考
http://easyramble.com/mac-check-malware-security.html
http://www.webessentials.biz/mac-secure/osx-iworm/