Mesi fa vi parlammo del virus FLASHBACK, un trojan che prendeva possesso del Mac e dei vostri dati personali, camuffandosi da finto aggiornamento del plug-in del Flash Player di Adobe, di cui si trovano tante copie più o meno ufficiali in giro per il web (MAI scaricarlo da siti diversi da quello ufficiale Adobe!!). Adesso è stata diffusa una nuova versione di questo virus, più insidiosa, il FLASHBACK.G
Ma cosa succederebbe ai nostri Mac se venissero infettati? E come si fa a diagnosticare un'eventuale contagio e a rimuoverne gli effetti?
Vi propongo questa guida accurata, da poco pubblicata sul sito SpiderMac:
il cavallo di Troia utilizza tre sistemi per infettare i computer Mac:
1 e 2) sfruttando due vulnerabilità Java, che secondo Intego permettono l’infezione senza alcun ulteriore intervento da parte dell’utente.3) se le falle Java non sono sfruttabili, il Trojan mostra un certificato digitale, sostenendo falsamente che appartiene ad “Apple Inc”, se si clicca sul pulsante Continua, il malware si installa.
Per cadere vittima del Trojan Flashback, bisogna prima eseguire il software. Per definizione, i cavalli di Troia si travestono da altri tipi di software, ingannando l’utente che, per esempio, fa doppio click su un’icona per lanciare un nuovo software e così viene infettanto. Tuttavia, se state ancora utilizzando Snow Leopard e non avete aggiornato Java, una pagina web appositamente modificata potrebbe installare il malware senza ulteriori interventi da parte vostra.
Secondo Intego, la variante più recente Flashback.G può iniettare codice nel browser Web e in altre applicazioni che si connettono a Internet, spesso causandone il crash. Il Trojan intercetta nomi utente e password di siti (Banche, Google, PayPal e altri), e passa le informazioni a pirati informatici per usi fraudolenti.
Come parte del suo processo di installazione, il malware mette un file invisibile nella cartella /Users/Shared/, il nome file varia, ma utilizza una estensione .so. Il Trojan installa altri file in file /Users/Shared/.svcdmp, ~/.MACOSX/environment.pliste ~/Library/Logs/vmLog. E posiziona un applet Java in ~/Library/Caches.
Intego ha già fatto sapere che il suo software VirusBarrier X6 è in grado di rilevare Flashback se è installato, e persino impedirne l’installazione.
Se si sospetta di essere stati infettati, è possibile controllare via Terminale (Applicazioni/Utility) incollando il codice riportato qui sotto, e premendo Invio:
ls /Users/Shared/.*.soSe la risposta che appare nel Terminale è “No such file or directory” NON siete stati infettati.
Se invece viene visualizzato un elenco di uno o più file con estensione .so e nessuna frase “No such file”, siete stati infettati dal malware.
Se si scopre di essere stati infettati, dovete rimuovere i file a cui si fa riferimento sopra o installare un software antivirus come Intego.
