Si avete letto bene il titolo del post...
VIRUS PER MAC
La falla è situala nel client Java 1.60.0_29 e permette ad una applet di eseguire codice arbitrario anche al di fuori della sandbox Java; ciò si traduce nella possibilità per la nuova versione del malware di installarsi nel sistema anche senza richiedere alcuna convalida da parte dell’utente.
Una volta preso possesso di una macchina Mac, Flashback è in grado di carpire informazioni dal sistema e di inviare i dati ad un server remoto, ponendo così le basi per una sottrazione indebita di dati, che nel caso di macchine collegate alla rete aziendale, possono essere particolarmente sensibili. Nonostante l’ampio spettro di macchine infette, ben il 57% dei sistemi compromessi sembrano comunque risiedere – secondo F-Secure – all’interno degli Stati Uniti, relegando la percentuale di pericolo per l’Italia ad un contenuto 0,3%.
Nell’impossibilità di compiere l’aggiornamento rilasciato da Apple, è consigliabile disabilitare il motore Java delle macchine potenzialmente vulnerabili. Se la vulnerabilità fosse già stata scoperta dal malware, F-Secure suggerisce le operazioni per "Guarire il Mac" :
- lanciare la seguente riga di comando “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
- Annotare i codici DYLD_INSERT_LIBRARIES e cliccare su invio
- Nel caso si riceva un messaggio tipo “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” allora il pc è integro
- Se il malware viene trovato, invece, bisogna scrivere “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ”
- Annotarsi il valore che compare accanto a “__ldpath__”
- A questo punto eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”
- Cancellare i file trovati nel punto 2 e 5
- Ora eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES”
- Se si riceve un messaggio tipo “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso.
- In caso contrario bisogna eseguire di nuovo il comando “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “
- Prendere nota dei valori ottenuti
- Eseguire i comandi “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e “launchctl unsetenv DYLD_INSERT_LIBRARIES”
- Ora cancellare i file indicati nei punti precedenti.
Arrivederci al prossimo articolo
Michele Balzano