Een Mac controleren op PubSab malware en verwijderen
Vorige week werden de Mac OS X gebruikers opgeschrikt door de Flashback malware die gebruik maakte van een veiligheidslek in Java. Deze week is er opnieuw een malware actief onder Mac OS X gebruikers met de naam 'PubSab' (ook wel genoemd: SabPub, SubPab). Deze malware maakt gebruik van een veiligheidslek in oude versies van Microsoft Office.
Is Microsoft Office op je Mac niet up to date dan is het verstanding om te controleren of de PubSab malware aanwezig is op je Mac. Dit doe je als volgt:
Open een Finder venster en de open de verborgen Bibliotheek map, dit doe je door naar het 'Ga'-menu in Finder te gaan, Wanneer je in het menu de ⌥option-toets indrukt verschijnt automatisch de optie 'Bibliotheek', klik hierop.
Je kunt ook de menu-optie Ga ▸ Ga naar… gebruiken vul hierbij als pad in: ~/Library
Controleer in het nieuwe Finder venster wat nu wordt geopend de mappen LaunchAgents en Preferences of hierin de volgende bestanden voorkomen:
LaunchAgents ▸ com.apple.PubSabAgent.plist
Preferences ▸ com.apple.PubSabAgent.pfile
Het eerste bestand de launchagent zorgt ervoor dat het .pfile bestand met daarin de malware code automatisch wordt uitgevoerd onder Mac OS X.
Mochten de bovenstaande bestanden aanwezig zijn op je Mac dan is deze besmet met het PubSab malware. Je kunt de malware bestanden verwijderen direct vanuit Finder of met behulp van de onderstaande twee commando's in OS X Terminal:
rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
rm ~/Library/Preferences/com.apple.PubSabAgent.pfile
Let op! Standaard maakt Mac OS X zelf gebruik van een PubSub-Agent voor synchroniseren van RSS feeds, deze heeft niets te maken met de PubSab malware!
Herstart na het verwijderen van de bestanden je Mac om eventuele actieve code (left-overs) van de malware uit te schakelen.
Screencast:
Auteur | Richard IJzermans | |
Bijgewerkt | 21/04/2012 12:05 | |
Categorie | macOS | |
Reacties
Ik heb gelukkig het iWork pakket.
Werkt prima. Maar goed voor de mensen die wel het Office pakket hebben.
Het wilt niet zeggen dat je MS product gebruikt dat je besmet wordt, bij mij althans niet.
Wat een onzin om te schrijven om alles te verwijderen van MS, vandaag of morgen doen ze weer een aanval op iets anders en dan ook weer verwijderen zeker om een besmetting te voorkomen. Dan kunnen we binnenkort alles gaan verwijderen net als Java dan enz….
Woops staat in het geel, RSS :)
Sorry. Maar toch MS gaat eraf :)
Bij mij staat deze com.apple.PubSabAgent.plist wel in preferences maar niet in Launchagents…
Wat wil dat dan zeggen? :-)
Tijd om alles wat MS is te verwijderen op Mac :)
Geen MS software op mijn Macs dus geen besmetting.
Geen Office 2010 en geen virusscanner, geen besmetting. Top Mac.
Zijn we onderhand niet beter af met een virusscanner om deze troep te verwijderen van mailware.
Bedankt voor de heldere uitleg!
Ben gelukkig vrij van malware.
wat als je (stom genoeg) wel ‘com.apple.PubSubAgent.plist aanwezig in Preferences’ verwijderd hebt?
Man overboord?
@Exotic @Nico Zo duidelijk is de tekst in dat gele blokje ook niet. Voor de duidelijkheid: com.apple.PubSubAgent.plist aanwezig in Preferences is OK, com.apple.PubSubAgent.pfile aanwezig in Preferences is niet OK.
Omg… dat ik daar overheen gelezen heb… Dom, dom dom.
Bedankt voor je reactie!
Ik begin stil aan het nadenken om een virusscanner voor Mac te gaan gebruiken. De laatste tijd geregeld dat je leest dat er aanvallen op het OS X gebeuren. Wat gaat het volgende keer weer zijn !!
@Exotic zie de opmerking in het gele blok dat geeft antwoord op je vraag:
[quote]Let op! Standaard maakt Mac OS X zelf gebruik van een PubSub-Agent voor synchroniseren van RSS feeds, deze heeft niets te maken met de PubSab malware![/quote]
Die laten staan dus!
Kunnen jullie hier een video over maken. ik vindt het nogal onduidelijk
Wel com.apple.PubSubAgent.plist aanwezig… Is dit hetzelfde?
Thanks. Bij mij dus aanwezig!