Voici un copier coller en Anglais du site
CNET :
Je résume :
- Ouvrez le programme Terminal (en le cherchant avec Spotlight, la loupe en haut à gauche),
- Copier une à une chacune des trois lignes ci-dessous et appuyez sur "entrée" après chaque copier-coller :
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Si le système ne trouve pas ces chemins, c'est que le virus qui permet le contrôle à distance de certaines fonctions de votre Mac n'est pas là.
Si vous n'avez pas le message d'erreur disant en anglais qu'il ne les trouve pas, cliquez sur le lien en bas (site F-Secure).
Ne téléchargez les logiciels que si vous êtes sûr du lien (ici, c'est un faux installateur de ADOBE Flash qui a été utilisé).
Regardez bien le nom du site avec l'extension du domaine, avant le premier "/", par exemple :
http://xxxxxx.xxxxx.Xxxxx.xxxxxxxxxxxxxxxxxxxxx.cabinetgfc.fr/xxxxxxx/Xxxxxxxxxxxxxx.Xxxxxxxxxx.xxxxx
C'est bien un lien vers le site du Cabinet GFC, mais pas le lien suivant qui comporte pourtant cabinertgfc.fr mais pas avant le premier "/" ("slash") :
http://www.cabinetgfc.fr.xxx.Xxxxx.xxxxxxxxxxxxxxxxxxxxx.cabgfc.fr/xxxxxxx/Xxxxxxxxxxxxxx.Xxxxxxxxxx.xxxxx
Attention, l'imagination est sans limite et vous pouvez avoir des sites ayant des noms très proches ou rassurant (avec des mots comme "secure" ou autres).
Un danger encore plus grand vient des liens réduits pour être utilisés dans twitter genre "bit.ly/45454fqs". Ce n'est pas encore très fréquent, mais n'attendons pas...
GFC Expertise
How do I tell if I have it?
Right now the easiest way to tell if your computer has been infected is to run some commands in Terminal, a piece of software you'll find in the Utilities folder in your Mac's Applications folder. If you want to find it without digging, just do a Spotlight search for "Terminal."
Once there, copy and paste each one of the code strings below into the terminal window. The command will run automatically:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
If your system is clean, the commands will tell you that those domain/default pairs "does not exist." If you're infected, it will spit up the patch for where that malware has installed itself on your system.
Uh oh, I have it. How do I remove it?
Security firm F-Secure has posted a step-by-step walkthrough for removing Flashback. This process also requires hopping into Terminal and running those commands, then tracking down where the infected files are stored, then manually deleting them. There are also likely be removal tools built into Mac antivirus/malware programs in the near future.
