Nuova variante del Trojan Mac Defender NON aggira il Security Update 2011-003 di Apple
A poche ore di distanza dal rilascio Security Update 2011-003 di Apple, che neutralizza il cavallo di Troia Mac Defender, online è stata individuata una nuova variante chiamata Mdinstall.pkg, che però NON è in grado di aggirare il dispositivo di sicurezza predisposto da Cupertino.
Tramite una ricerca su Google, ho trovato la nuova variante di Mac Defender, ma al momento di scaricalo è automaticamente apparso il seguente messaggio:
Il Security Update 2011-003 ha modificato il funzionamento dell’antivirus incluso in Snow Leopard. La prima modifica riguarda l’elenco delle definizioni del malware contenute nel file di sistema XProtect.plist di Snow Leopard. Questa protezione antimalware al momento del suo debutto nel 2009 conteneva solo due definizioni, e da allora è stata aggiornata con soli quattro definizioni di malware. Con l’ultimo aggiornamento di sicurezza, Apple ha aggiunto le definizioni per identificare ed eliminare il Trojan Mac Defender (OSX.MacDefender.A e la variante OSX.MacDefender.B).
La seconda modifica appartata da Apple mira a rinforzare la protezione antimalware di Snow Leopard con l’aggiunta di una funzione di aggiornamento quotidiano delle definizioni dei virus. Questo dà a Apple la possibilità di aggiungere nuove definizioni in background, senza richiedere agli utenti di scaricare manualmente un aggiornamento di sicurezza. La nuova funzione “Aggiorna automaticamente l’elenco download sicuri” si trova nel pannello Sicurezza/Generali di Preferenze di Sistema ed è abilitata di default, naturalmente.
Quando nel corso della notte si è diffusa la notizia dell’individuazione della nuova variante Mdinstall.pkg, Apple ha immediatamente aggiornato in remoto l’elenco delle definizioni del malware contenute nel file di sistema XProtect.plist di Snow Leopard, aggiungendo la variante OSX.MacDefender.C.
Nella foto, a sinistra il file XProtect.plist di Snow Leopard dopo l’aggiornamento Security Update 2011-003 del 31 maggio con solo due definizioni di Mac Defender; a destra il file XProtect.plist aggiornato in remoto da Apple nel corso della notte del 2 giugno con la terza definizione della variante Mac Defender:
32 Commento
Io ho fatto l’aggiornamento Security Update 2011-003, quindi ora sono protetto automaticamente senza dover far altro?
Esatto (Y) Le definizioni dei virus sono state aggiornate da Apple in remoto senza che tu facessi nulla.
Ma questo Mac Defender C che problemi crea se installato su un Mac?
@ Armando: si tratta solo di una variante. In pratica è un finto antivirus che effettua una finta scansione e fa apparire in continuazione avvisi di virus presenti sul Mac della vittima (e fa aprire in continuazione siti porno). Poi chiede di comprare una licenza del software. Leggi anche MAC Defender e il pericolo virus che non c’è
Ho installato l’antivirus gratuito ClamXav dopo averne letto la recensione. Volevo sapere se è in grado di intercettare questo nuovo Trojan. Grazie.
@ Felix The Cat: si (screenshot). Se non l’hai già fatto, devi solo aggiornare le definizioni dei virus con l’apposito pulsante che si trova nella barra degli strumenti di ClamXav.
Buongiorno.
Personalmente ho notato che il mio file XProtect.plist non è stato aggiornato con la nuova definizione del trojan (C), pur avendo spuntato l’opzione dell’update automatico nel pannello Sicurezza e avendo abilitato da Little Snitch l’accesso dell’applicazione XProtectUpdater ai server Apple.
Da cosa può dipendere?
Grazie per l’attenzione.
@ dactylium: se sei sicuro che il file XProtect.plist non è stato aggiornato (per “leggerlo” correttamente serve l’utility Property List Editor), prova a disabilitare Little Snitch oppure inviami per email una copia del tuo file che verifico 😉
Ciao Stefano, grazie per la celere risposta.
In effetti mi domandavo con quale programma fosse stato aperto il file plist negli screenshots allegati all’articolo.
In ogni caso io l’ho semplicemente aperto con TextEdit, e non ho trovato al suo interno la stringa corrispondente alla variante C di Mac Defender.
Tra l’altro il file risulta aver subito un’ultima modifica solo ieri (quando cioè ho installato il Security Update 2011-003).
Un’altra stranezza che ho notato è la seguente.
Avviando manualmente il programma XProtectUpdater (che suppongo sia l’utility che gestisce l’aggiornamento delle definizioni dei malware), il Terminale mi dice “Unable to write new signature meta plist”.
Ringraziandoti in anticipo per la disponibilità, provvedo a inviarti il file plist via mail.
Quando ne hai possibilità, giusto per scrupolo, potresti togliermi definitivamente il dubbio sul mancato aggiornamento.
Grazie ancora.
Che applicazione si può usare per visualizzare i file .plist come in questa pagina?
Grazie!
@ Giorgio: devi usare l’utility Property List Editor che si trova nel pacchetto Developer del DVD Installer di Snow Leopard oppure devi acquistare Xcode (€4).
Complimenti!
Spider-mac è stato il primo ad accorgersi dell’aggiornamento tempestivo di Apple.
Guadagnando subito una citazione qui:
http://www.macrumors.com/2011/06/02/apple-responds-quickly-to-evolving-mac-defender-threat-with-updated-malware-definitions/
Grazie per l’ottimo lavoro.
grande stefano!!!Property List Editor si trova in qualsiasi dvd id sl?come si fa a trovarlo ed installarlo?
@ Stefano: inizialmente, nonostante avessi seguito i tuoi suggerimenti, il file plist non voleva saperne di aggiornarsi.
Ho poi risolto in un modo del tutto inaspettato e casuale.
Ho rimosso la spunta di selezione alla nuova voce di aggiornamento nel pannello Sicurezza, scheda Generali.
Quando ho di nuovo spuntato l’opzione per l’update automatico delle definizioni, il file è stato aggiornato (ne ho anche avuto conferma nell’elenco dei processi di Little Snitch: XProtectUpdater ha avuto accesso ai server Apple).
Mi auguro che questa soluzione possa essere di aiuto anche a qualcun altro, e ti ringrazio sentitamente per i consigli e il tempo che mi hai dedicato.
Ciao!
@ ilfolle: devi installare il pacchetto Xcode che trovi sul DVD di Snow Leopard. L’utility la trovi in Computer/Developer/Applications/Utilities.
@ dactylium: ottima e utilissima info (Y) (Y) (Y)
Salve a tutti,
e un grazie a Stefano per la tempestiva info dell’articolo.
Tuttavia mi resta un dubbio: e se io navigassi con Chrome o Firefox al posto di Safari, la protezione funziona ugualmente?
Cioè se mi capitasse di scaricare il Malware con un altro browser che non sia Safari, la finestra di avviso comparirebbe lo stesso?
(Snow Leopard con tutti gli ultimi updates).
Grazie!
@ Henry: è un dispositivo di sicurezza di Mac OS X, quindi si attiva non appena viene lanciato l’installer di Mac Defender, indipendentemente se il Trojan è stato scaricato con un (qualsiasi) browser, ricevuto via iChat, via e-mail o copiato da un CD/DVD o altro supporto.
Molto gentile Stefano, grazie per la risposta 🙂
ho installato xcode,lanciato il programmino ma la lista e desolatamente vuota…o items….perchè?
ma esattamente il pacchetto xcode cosa contiene?
@ ilfolle: Xcode è l’ambinete di sviluppo per Mac OS X e iOS. Se hai Snow Leopard 10.6.7 non è possibile che il file XProtect.plist sia vuoto.
Segnalo che aggiornando XProtect.plist ora viene aggiunta anche la variante OSX.MacDefender.D
Ho tolto e rimesso il segno di spunta come suggeriva l’utente “dactylium” ed è partito l’aggiornamento, esaminando il file contiene anche la variante “OSX.MacDefender.D” adesso.
io confermo che la mia lista è desolatamente vuota…
@stefano donadio:sul tuo profilo fb hai la foto dellamia schermata dove vedi la versione di osx e la lista vuota,perchè?
@ ilfolle: dalla foto che hai allegato hai aperto un nuovo file “Untitled” e non “XProtect.plist”. Te ne accorgi guardando il nome del file nella barra.
è vero,hai ragione…ma non trovo il file xprotect.plist…non lo trova nemmeno usando spotpight…
@ il folle: il file XProtect.plist si trova in
Computer/Sistema/Libreria/CoreServices poi click con il tasto destro del mouse su CoreTypes.bundle, seleziona Mostra contenuto pacchetto e poi Contents/Resources/
trovato!!!grazie stefano!!confermo la presenza della versione d,all’items numero 9
Per la cronaca segnalo che, oltre alla variante D già indicata da Curiosone, il file XProtect.plist risulta ora aggiornato anche a una variante E.
Tuttavia, nel mio caso, per procedere all’aggiornamento delle definizioni, ho dovuto eseguire di nuovo la manovra manuale del “togli e metti” sul segno di spunta dell’update automatico nel Pannello Sicurezza.
Sembra quindi che, quanto meno sul mio sistema (iMac mid 2007 con SL ultimi update), questa funzione automatica non funzioni proprio a dovere.
Ciao.
C’è gente al mondo che spreca la propria intelligenza per rompere i c….ni al prossimo ( producendo i virus, appunto ). A questa gente auguro che gli si possa seccare il pisello, senza possibilità di ricrescita. Spero Stefano mi perdoni per il post
Io ho Mac OS X 10.6.7 ed ho cercato questa XProtect.list. Ma non la trovo. Come si può vedere ?
Ho trovato la voce XProtect.list ma non é come compare nel blog, è scritta come le stringhe un po sbiadita e sono tutti numeri
confermo la presenza della versione E
Addirittura ora siamo alla variante O di Otranto (e include anche le precedenti F, G, HI, J, K, L, M ed N).