Come eliminare il virus Flashback dai computer Mac
Sfruttando una vulnerabilità java nel browser Safari, un virus è riuscito a penetrare nelle difese del famoso sistema operativo Mac, infettando oltre 600.000 sistemi in tutto il mondo.
Flashback nasce come un falso programma di installazione di Flash Player e sfrutta falle di sicurezza di java senza patch di protezione e può essere preso semplicemente visitando una pagina web dannosa.
Come si prende l’infezione e come agisce
In questo caso il virus all’insaputa dell’utente scrive un piccolo programma di istallazione che si potrebbe chiamare Jupdate. Mkeeper. Flserv,. Nulla o. Rserv.
Inoltre l’applet java corrotta scrive un file di avvio che lancerà continuamente il programma una volta che l’utente è connesso.
Il virus inserisce il suo codice in applicazioni, in particolare nel browser web ed è quindi in grado di inviare immagini e dati personali a server remoti.
Al fine di evitare di essere rivelato, secondo gli esperti il virus cercherà i file relativi a strumenti antivirus, del tipo
/ Library / Little Snitch
/ Developer / Applications / Xcode.app / Contents / MacOS / Xcode
/ Applications / VirusBarrierPeeper.app
e cercherà di eliminarli.
A questo punto il programma Jupdate, si collega al server remoto e scarica il suo payload che consta di due componenti, uno esegue la cattura e l’invio dei file personali, l’altro è un filtro in grado di far agire il malware solo su alcune applicazioni, in modo da evitare il crash del computer.
Dopo aver scaricato il payload inizia l’infezione vera e propria del computer.
All’utente apparirà una casella di aggiornamento software e verrà richiesto di fornire le proprie password ma anche se non lo si fa, il virus trova altri sistemi per andare in fondo ai suoi scopi.
Nel primo caso agisce un file chiamato “Info.plist” che si trova nella cartella “contenuti” di ogni applicazione e che viene letto ogni volta che il programma è aperto. Se invece non si fornisce la password agisce un file che si chiama “environment.plist” e si trova all’interno dell’account utente in una cartella nascosta (~ / .MacOSX / environment.plist).
Quest’ultimo file può essere utilizzato per lanciare dei parametri da qualsiasi applicazione venga aperta.
Ovviamente, nel secondo caso ci potrebbero essere dei crash ed ecco che agisce il filtro del virus stesso che fa sì che i comandi agiscano solo con alcune applicazioni, come ad esempio Safari, Firefox e Skype.
Come ci si accerta di essere infetti
Per essere sicuri che si è stati infettati dal malware basta aprire l’applicazione terminale e digitare i seguenti comandi :
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
Questi comandi leggono i file summenzionati di alcune applicazioni e verificano se esiste la variabile creata dal virus per lanciare se stesso. Se questa variabile non c’è, la risposta sarà che la copia di default non esiste.
In aggiunta si può digitare il comando:
ls-la ~ /.. / Shared /. *. so
per vedere se ci sono file .so invisibili presenti nella directory di utente condiviso e se appare la risposta che ci segnala che non ci sono questi file, vuol dire che non si è infetti, altrimenti apparirà l’elenco dei file dannosi.
Come eliminare l’infezione secondo le indicazioni di F Secure http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_k.shtml
Per prima cosa digitare al terminale
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
e per ogni file doppio trovato se non compare la scritta il file non esiste, eseguire il seguente comando nel terminale
grep-a-o ‘__ldpath__ [- ~] *’% path_obtained_in_step2%, appuntarsi il valore a fianco valore a fianco di __ldpath__
Eseguire poi i seguenti comandi dal terminale:
defaults sudo delete / Applications / Safari.app / Contents / Info LSEnvironment sudo chmod 644 / Applications / Safari.app / Contents / Info.plist sudo defaults delete/ Applications / Firefox.app / Contents / Info LSEnvironment sudo chmod 644 / Applications / Firefox .app / Contents / Info.plist
Defaults delete ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES launchctl DYLD_INSERT_LIBRARIES unsetenv
Ora, nel Finder bisogna andare su “go” e selezionare la libreria e aprire la cartella LaunchAgents, dove si dovrebbe vedere un file chiamato qualcosa come “com.java.update . Plist, ma ci potrebbe anche essere un file con il nome “com.adobe.reader” sempre con suffisso Plist.
A questo punto eseguire nel terminale
defaults read ~ / Library / LaunchAgents / com.java.update, oppure il nome che avete sul Mac, ProgramArguments
Dopo premere Invio e annotarsi il percorso del file che appare alla finestra del terminale.
Come avete fatto in precedenza, individuare il file nel Finder e cancellatelo.
Per rimuovere qualsiasi file.so nascosto bisogna digitare questo comando nel terminale, assicurandosi che non ci siano spazi
sudo rm ~/../Shared/.*.so
Dopo aver eseguito questa operazione e aver cancellato il file “com.java.update.plist” o “com.adobe.reader.plist” si dovrebbe essere completamente apposto e sicuri dall’infezione.