zaterdag 21 april 2012

Een Mac controleren op PubSab malware en verwijderen

Vorige week werden de Mac OS X gebruikers opgeschrikt door de Flashback malware die gebruik maakte van een veiligheidslek in Java. Deze week is er opnieuw een malware actief onder Mac OS X gebruikers met de naam ‘PubSab’ (ook wel genoemd: SabPub, SubPab). Deze malware maakt gebruik van een veiligheidslek in oude versies van Microsoft Office.

Is Microsoft Office op je Mac niet up to date dan is het verstanding om te controleren of de PubSab malware aanwezig is op je Mac. Dit doe je als volgt:

Open een Finder venster en de open de verborgen Bibliotheek map, dit doe je door naar het ‘Ga’-menu in Finder te gaan, Wanneer je in het menu de ⌥option-toets indrukt verschijnt automatisch de optie ‘Bibliotheek’, klik hierop.

Je kunt ook de menu-optie Ga ▸ Ga naar… gebruiken vul hierbij als pad in: ~/Library

Controleer in het nieuwe Finder venster wat nu wordt geopend de mappen LaunchAgents en Preferences of hierin de volgende bestanden voorkomen:

LaunchAgents ▸ com.apple.PubSabAgent.plist
Preferences ▸ com.apple.PubSabAgent.pfile

Het eerste bestand de launchagent zorgt ervoor dat het .pfile bestand met daarin de malware code automatisch wordt uitgevoerd onder Mac OS X.

Mochten de bovenstaande bestanden aanwezig zijn op je Mac dan is deze besmet met het PubSab malware. Je kunt de malware bestanden verwijderen direct vanuit Finder of met behulp van de onderstaande twee commando’s in OS X Terminal:

rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
rm ~/Library/Preferences/com.apple.PubSabAgent.pfile

Let op! Standaard maakt Mac OS X zelf gebruik van een PubSub-Agent voor synchroniseren van RSS feeds, deze heeft niets te maken met de PubSab malware!

Herstart na het verwijderen van de bestanden je Mac om eventuele actieve code (left-overs) van de malware uit te schakelen.

Screencast:




Zie ook:


Reacties:


  • Katja 21 april 2012 om 10:48

    Thanks. Bij mij dus aanwezig!

  • Exotic 21 april 2012 om 10:56

    Wel com.apple.PubSubAgent.plist aanwezig… Is dit hetzelfde?

  • Dries 21 april 2012 om 10:59

    Kunnen jullie hier een video over maken. ik vindt het nogal onduidelijk

  • Nico 21 april 2012 om 11:41

    @Exotic zie de opmerking in het gele blok dat geeft antwoord op je vraag:

    [quote]Let op! Standaard maakt Mac OS X zelf gebruik van een PubSub-Agent voor synchroniseren van RSS feeds, deze heeft niets te maken met de PubSab malware![/quote]

    Die laten staan dus!

  • Werner 21 april 2012 om 11:41

    Ik begin stil aan het nadenken om een virusscanner voor Mac te gaan gebruiken. De laatste tijd geregeld dat je leest dat er aanvallen op het OS X gebeuren. Wat gaat het volgende keer weer zijn !!

  • Exotic 21 april 2012 om 11:50

    Omg… dat ik daar overheen gelezen heb… Dom, dom dom.
    Bedankt voor je reactie!

  • Peter 21 april 2012 om 15:47

    @Exotic @Nico Zo duidelijk is de tekst in dat gele blokje ook niet. Voor de duidelijkheid: com.apple.PubSubAgent.plist aanwezig in Preferences is OK, com.apple.PubSubAgent.pfile aanwezig in Preferences is niet OK.

  • jaf 21 april 2012 om 16:02

    wat als je (stom genoeg) wel ‘com.apple.PubSubAgent.plist aanwezig in Preferences’ verwijderd hebt?
    Man overboord?

  • patricia 21 april 2012 om 16:31

    Bedankt voor de heldere uitleg!
    Ben gelukkig vrij van malware.

  • Werner 21 april 2012 om 19:59

    Zijn we onderhand niet beter af met een virusscanner om deze troep te verwijderen van mailware.

  • Maddriver 22 april 2012 om 10:04

    Geen Office 2010 en geen virusscanner, geen besmetting. Top Mac.

  • DutchMob 22 april 2012 om 11:41

    Geen MS software op mijn Macs dus geen besmetting.

  • Wout 22 april 2012 om 13:02

    Bij mij staat deze com.apple.PubSabAgent.plist wel in preferences maar niet in Launchagents…

    Wat wil dat dan zeggen? :-)
    Tijd om alles wat MS is te verwijderen op Mac :)

  • Wout 22 april 2012 om 13:03

    Woops staat in het geel, RSS :)
    Sorry. Maar toch MS gaat eraf :)

  • Werner 22 april 2012 om 13:20

    Wat een onzin om te schrijven om alles te verwijderen van MS, vandaag of morgen doen ze weer een aanval op iets anders en dan ook weer verwijderen zeker om een besmetting te voorkomen. Dan kunnen we binnenkort alles gaan verwijderen net als Java dan enz….

  • Werner 22 april 2012 om 13:24

    Het wilt niet zeggen dat je MS product gebruikt dat je besmet wordt, bij mij althans niet.

  • Roy 22 april 2012 om 14:43

    Ik heb gelukkig het iWork pakket.
    Werkt prima. Maar goed voor de mensen die wel het Office pakket hebben.

Reactie toevoegen

Stel een avatar in