Så blir du av med reklamprogram och annat skräp på Macen - MacWorld En sak både Apple och Macanvändare ofta puffar för beträffande Macens förträfflighet är att det inte finns några virus för OS X. Det är numera en sanning med modifikation, men det har aldrig betytt att det inte finns skadeprogram alls för Mac. Det första skadeprogrammet för Macens moderna operativsystem som fick viss spridning kallades MW2004 och var ett enkelt applescript som låtsades vara ett installationsprogram för Microsoft Word men i själva verket försökte radera användarens hemmapp. 2006 dök Leap (även kallat Oompa Loompa) upp och spred sig via Ichat. Det var en trojan som dock hade vissa drag av ett virus då det försökte sprida sig själv genom att skicka sig själv packad i en fejkad bildfil till alla användarens Ichat-kontakter. 2007 kom den första trojanen som faktiskt drabbade en hel del användare. Rsplug som den kallas laddades ner i tron att det var en videocodec som behövdes för att se porr, och den har under åren dykt upp igen i olika varianter. 2008 kom Macsweeper, det första fulprogrammet för Mac. Det vill säga ett program som låtsas göra nytta men bara försöker lura dig på pengar. Programmet söker igenom hårddisken och hittar alltid problem, som den erbjuder sig att avhjälpa efter att du har köpt en licens. 2009 dök Iservices, även kallat Iworkservices eller Krowi, upp. Det var en trojan som gömde sig i piratkopierade versioner av framför allt Iwork, men även Adobe Photoshop. Infekterade Macar ingick i ett så kallat botnet.
Samtliga ovanstående hot blockeras automatiskt av nyare versioner av OS X (Snow Leopard och senare) via systemets inbyggda skydd mot skadeprogram, Xprotect. Uppdateringar håller dig hyfsat säker Även många senare hot har blockerats av Apple, eller har upphört att utgöra hot då de utnyttjade säkerhetsbrister i systemet som numera har fixats i uppdateringar. Så länge du har uppdaterat till senaste versionen av systemet är du säker från dessa. Nyare hot har ofta använt brister i Java för att ta sig in i systemet och det har förekommit flera allvarligare incidenter. Flashback var den första stora, och många senare skadeprogram använde samma attackmetod som Flashback. Oracles senaste version av Java har täppt alla dessa brister, så användare som är uppdaterade har ingen risk att smittas, i alla fall tills ett nytt säkerhetshål upptäcks. Det förekommer dock fortfarande flera skadeprogram som sprids i det vilda och som inte har stoppats av några uppdateringar varken från Apple eller andra. Här går vi igenom de vanligaste. Vi visar symptomen du ska vara uppmärksam på, hur du kollar om du har drabbats, samt hur du blir av med dem.
Adwaremedic är en vass hjälpreda Det smarta lilla programmet Adwaremedic från skaparen av sajten The safe Mac är första steget. Det är ett program som håller koll på de flesta program som tvingar på dig reklam till Macen och uppdateras ofta, en genomsökning av datorn tar bara några sekunder och kammar det noll betyder det förmodligen att datorn är fri från adware. Dessutom är det gratis (men vi föreslår att du donerar en liten peng om det hjälper dig ta bort skräp från datorn). Även om du inte har några tydliga symptom kan det vara en bra idé att köra programmet med senaste uppdateringen lite då och då, man vet ju aldrig vad som gömmer sig i systemet. Ladda ner Adwaremedic Radera med terminalen När vi skriver att du ska ta bort en fil eller mapp är det enklaste sättet att öppna Terminal och skriva in följande kommando: sudo rm -R [filen/mappen] Till exempel: sudo rm -R /System/Library/Frameworks/v.framework Håll tungan rätt i mun när du skriver in dessa kommandon och använd helst kopiera och klistra in, om du skriver fel finns det i värsta fall en risk att du istället raderar något viktigt. Du kan så klart också navigera via Finder men vissa mappar kan vara dolda. Så vet du att du drabbats av Adware i Macen Symptom: Ditt surfande avbryts av en massa reklam du inte brukade få. Popupfönster eller nya flikar med reklam för till exempel porr- och spelsajter, men
även ord som förvandlas till länkar och andra format. Reklamen dyker upp oavsett vilken webbläsare du använder. Trolig orsak: Du har råkat installera någon variant av så kallad adware. Det finns en hel rad, bland annat VSearch och Genieo/Installmac Lösning: Vsearch (kallas även: Mplayerx, Downlite, Conduit eller Trovi) Radera följande filer och mappar: /System/Library/Frameworks/v.framework /System/Library/Frameworks/VSearch.framework /Library/PrivilegedHelperTools/Jack /Library/InputManagers/CTLoader/ /Library/Application Support/Conduit/ ~/Library/Internet Plug-Ins/ConduitNPAPIPlugin.plugin ~/Library/Internet Plug-Ins/TroviNPAPIPlugin.plugin /Applications/SearchProtect.app Starta sedan om Macen och töm papperskorgen. Genieo (kallas även Installmac) 1. Öppna Aktivitetskontroll och sök efter processer med namnen Genieo och Installmac. Om någon eller båda finns, tvångsavsluta dem och gå vidare. 2. Radera /private/etc/launchd.conf och starta om Macen. 3. Radera följande filer och mappar: /Applications/Genieo /Applications/InstallMac /Applications/Uninstall Genieo /Applications/Uninstall IM Completer.app /usr/lib/libgenkit.dylib /usr/lib/libgenkitsa.dylib
/usr/lib/libimckit.dylib /usr/lib/libimckitsa.dylib /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client ~/Library/Application Support/Genieo/ ~/Library/Application Support/com.genieoinnovation.Installer/ 4. Starta om Macen. 5. Radera /Library/Frameworks/GenieoExtra.framework 6. Starta om Macen igen och töm papperskorgen. 7. Radera till sist följande filer och mappar: /Library/LaunchAgents/com.genieo.completer.update.plist /Library/LaunchAgents/com.genieo.engine.plist /Library/LaunchAgents/com.genieoinnovation.macextension.client.plist /Library/LaunchAgents/com.genieoinnovation.macextension.plist /Library/LaunchDaemons/com.genieoinnovation.macextension.client.plist /Library/LaunchDaemons/Jack.plist ~/Conduit/ ~/Trovi/ ~/Library/Caches/com.Conduit.takeOverSearchAssetsMac ~/Library/Caches/com.VSearch.bulk.installer ~/Library/Caches/com.VSearch.VSinstaller ~/Library/LaunchAgents/com.genieo.completer.download.plist ~/Library/LaunchAgents/com.genieo.completer.ltvbit.plist ~/Library/LaunchAgents/com.genieo.completer.update.plist ~/Library/Preferences/com.genieo.global.settings.plist.lockfile ~/Library/Preferences/com.geneio.settings.plist.lockfile ~/Library/Preferences/com.geneio.global.settings.plist ~/Library/Saved Application State/com.genieo.RemoveGenieoMac.savedState ~/Library/Saved Application State/com.VSearch.bulk.installer.savedstate 8. Gå till /Library/LaunchAgents/ och leta efter en fil som heter com.*.agent.plist (* kan vara en mängd olika ord, till exempel midnight eller Apple). och radera den. 9. Leta sedan upp två filer i /Library/LaunchDaemons/ som heter com.*.daemon.plist
och com.*.helper.plist där * är samma ord som i steg 8. Radera båda. 10. Gå till /Library/Application Support/ och leta efter en mapp eller fil med samma namn som * var i steg 8 och 9. Radera den. 11. Starta om Macen och töm papperskorgen. Tecken på adware i webbläsaren Symptom: En massa reklam som inte brukade dyka upp syns, men bara i en webbläsare, till exempel Safari eller Chrome. Trolig orsak: Du har råkat installera en adware-plugin för webbläsare. Det finns hundratals varianter. Lösning: 1. Öppna inställningarna för tillägg:
Safari: Safari -> Inställningar -> Tillägg Chrome: Fönster -> Tillägg Firefox: Verktyg -> Tillägg 2. Titta i listan och se om något du inte känner igen finns där. Dessa tilläggsprogram (plugin) har varierade namn, men gemensamt är att du inte känner igen dem och att de försöker se legitima ut, till exempel genom nan som Ebay Shopping Assistant eller Omnibar. 3. Stäng av alla tillägg och kontrollera att reklamen nu har upphört (om inte kan det vara något annat problem, se rubriken Adware här ovan). 4. Aktivera ett tillägg i taget tills reklamen börjar dyka upp igen. 5. Avinstallera det tillägget och fortsätt gå igenom tilläggen för att försäkra dig om att du inte har fler som gör samma sak. Iworm Symptom: Inga synliga. Du kan bli av med lösenord och annan känslig data. Om du är drabbad finns en mapp med namnet JavaW i /Library/Application Support/ Trolig orsak: Du har installerat en piratkopia av till exempel Adobe Photoshop. Lösning: Installera ett antivirusprogram, exempelvis Avast, Avira, Intego Mac Internet Security X8 eller Clamxav. Det är inte värt att försöka fixa på egen hand då bakdörren kan installera programkod på olika platser på hårddisken som inte kan förutses. Skanna hela disken. Ventir Symptom: Inga synliga. Macen får en bakdörr, en tangentbordloggare och ett spionverktyg och läcker dina lösenord och känsliga uppgifter som ett såll. Trolig orsak: Det är okänt hur Ventir sprids och hur många som kan ha infekterats. Förmodligen används den avancerade trojanen i riktade attacker av något slag. Lösning: Installera ett antivirusprogram, exempelvis Avast, Avira, Intego Mac Internet Security X8 eller Clamxav. Det är inte värt att försöka fixa på egen hand då bakdörren kan installera programkod på olika platser på hårddisken som inte kan
förutses. Skanna hela disken. Finfisher Symptom: Inga synliga. Sysslar du med något olagligt kan polisen knacka på dörren. Trolig orsak: Något lands polis eller säkerhetstjänst har lyckats installera den här bakdörren och spionprogrammet på din Mac. Lösning: Om du är orolig över att bli spionerad på bör du allmänt vara extremt försiktig med vad du installerar och vilka nätverk du ansluter till. Ha gärna ett antivirusprogram installerat och håll det uppdaterat. Finfisher sägs upptäckas av dagens antivirusprogram, men företaget som utvecklar programmet kan komma på nya sätt att undgå upptäckt. Ett par ord om Mackeeper Mackeeper är ett program som många tror är ett skadeprogram, men syftet med det är faktiskt att vara ett vanligt verktygsprogram som till exempel kan rensa cachefiler och städa upp på andra sätt. Det utvecklas av Zeobit och problemet är att det marknadsförs på ett minst sagt aggressivt sätt med popup- och popunderfönster, påträngande banners och på alla andra sätt företaget kan komma på. Dessutom är det extremt svårt att bli av med och går egentligen över gränsen för hur djupt ett legitimt program borde borra ner sig i systemet, vilket inte har hjälpt Zeobits rykte. Om du har installerat Mackeeper och inte vill ha det längre gör du så här: 1. Öppna Mackeeper från Programmappen och avsluta (cmd-q), så stängs bakgrundsprogrammet av också. 2. Dra Mackeeper till papperskorgen. Du måste fylla i adminlösen och sedan dyker en dialogruta upp där du kan välja att radera andra komponenter. Välj ja. Tyvärr räcker det dock inte.
3. Öppna Finder, håll nere Alt och välj Gå -> Bibliotek. 4. I biblioteksmappen hittar du mappen Application Support. I den ligger en mapp som heter MacKeeper Helper med en fil som heter NoticeEngine.plugin. Släng hela mappen från MacKeeper i papperskorgen och töm den. 5. Starta om Macen.