A Flashback.C-re keresztelt új trójai azon túl, hogy az adatokat csendesen egy távoli szerverre továbbítja, az Apple biztonsági fájljainak frissítését is megakadályozza. A malware-ek taktikái között nem számít újdonságnak ez a viselkedési forma és ennek következtében legelőször a beépített védelmi protokollok esnek áldozatul. A Flashback.C sem tesz másként, így települése után az OS X biztonsági rendszerének Xprotect nevezetű modulja lekapcsolt állapotba kerül.
A Flashback.C álcázott telepítője
A trójai egyébként flash csomag telepítőnek álcázza magát és ha sikerül átejtenie a felhasználót, akkor a telepítés befejezéshez a user gondolkozás nélkül adja majd meg az adminisztrátori jelszavát. A Snow Leopard és a Lion is sebezhető, azonban úgy tűnik, hogy a trójai törli magát azokon a rendszereken, melyeken a Little Snitch tűzfal fut.
Az álcázott telepítő első dolga, hogy ellenőrzi, hogy a rendszer használja-e a fent említett tűzfalat (/Library/Little Snitch/lsd). Ha igen, akkor a telepítő rutinjai további részét nem futtatja le (törlődik).
Amennyiben településének nincs akadálya, azonnal kapcsolódik egy távoli szerverhez és megkezdi az adatok kiszivárogtatását.
Kézi eltávolítás (F-Secure jóvoltából):
Scannelje az egész rendszert és jegyezze fel a detektált fájlokat.
Az alábbi bejegyzést:
LSEnvironmentDYLD_INSERT_LIBRARIES
%path_of_detected_file_from_step_1%
távolítsa el az alábbiakból:
/Applications/Safari.app/Contents/Info.plist
/Applications/Firefox.app/Contents/Info.plist
Majd törölje az összes detektált fájlt.
