Flashback: Anche i Mac Colpiti Da Virus

Chi dice che i Mac sonno immuni da virus? Ebbene si, anche i Mac sono stati colpiti, e continuano ad esserlo tutt’ora, da virus. Ovvio che se messi in proporzione con Windows, i virus disponibili per Mac sono uno su un milione. Il trojan in questione si chiama Flashback e, secondo una statistica di Dr.Web pare che i pc infetti siano oltre mezzo milione. Il trojan è “noto” già del 2011, quando Apple risolse la falla che il virus sfruttava, ma oggi, a distanza di poco più di un anno, Flashback è tornato. Sfruttando una falla in Java, il malware si installa dopo aver visitato un sito web contenente materiale dannoso. Dopo aver appurato se è presente o meno un Software Antivirus, Flashback procede alla sua installazione e subito dopo crea una botlist con la quale presto inizia a comunicare.

Controllate di Non Essere Stati Infettati

Seppur le statistiche dicano che i Mac Infetti da Trojan sono situati per lo più negli Usa e in Canada, una controllata al nostro Mac non può sicuramente guastare. Per capire se il nostro Mac è infetto Dr.Web ha rilasciato uno strumento web-based che permette di fare dei controlli incrociati tra l’hardware del nostro pc e di quelli infetti. Se il vostro Mac rientra tra quelli infetti, vi conviene provvedere ad aggiornare il vostro sistema operativo per “ricucire” la falla. Tuttavia, F-Secure ha pubblicato un metodo alquanto lungo e macchinoso (ma sembra sia efficace) per rimuovere il trojan, sfruttando il terminale di OSX. Vediamo come procedere:

1 – Aprire il terminale e scrivere “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
2 – Annotare i codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
3 – Se viene visualizzati sullo schermo un errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti.
4 – Se i file invece vengono trovati dopo l’analisi, è necessario scrivere “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e annotare il valore accanto a “__ldpath__”
5 – A questo punto bisogna eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando in seguito i file trovati nel secondo e nel quarto punto.
6 – Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se viene visualizzato un messaggio simile a “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato eliminato completamente. In caso contrario, eseguire di nuovo “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, annotando ancora i valori.
7 – Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, bisogna eliminare i file indicati nei passaggi precedenti.

Link | F-Secure 

© 2008 Ziogeek.com

Tag: , , ,