Nuova variante del Trojan Mac Defender NON aggira il Security Update 2011-003 di Apple

2 giugno 2011 ore 07:30 | di | 32 commenti

A poche ore di distanza dal rilascio Security Update 2011-003 di Apple, che neutralizza il cavallo di Troia Mac Defender, online è stata individuata una nuova variante chiamata Mdinstall.pkg, che però NON è in grado di aggirare il dispositivo di sicurezza predisposto da Cupertino.

Tramite una ricerca su Google, ho trovato la nuova variante di Mac Defender, ma al momento di scaricalo è automaticamente apparso il seguente messaggio:

Mac Defender

Il Security Update 2011-003 ha modificato il funzionamento dell’antivirus incluso in Snow Leopard. La prima modifica riguarda l’elenco delle definizioni del malware contenute nel file di sistema XProtect.plist di Snow Leopard. Questa protezione antimalware al momento del suo debutto nel 2009 conteneva solo due definizioni, e da allora è stata aggiornata con soli quattro definizioni di malware. Con l’ultimo aggiornamento di sicurezza, Apple ha aggiunto le definizioni per identificare ed eliminare il Trojan Mac Defender (OSX.MacDefender.A e la variante OSX.MacDefender.B).

La seconda modifica appartata da Apple mira a rinforzare la protezione antimalware di Snow Leopard con l’aggiunta di una funzione di aggiornamento quotidiano delle definizioni dei virus. Questo dà a Apple la possibilità di aggiungere nuove definizioni in background, senza richiedere agli utenti di scaricare manualmente un aggiornamento di sicurezza. La nuova funzione “Aggiorna automaticamente l’elenco download sicuri” si trova nel pannello Sicurezza/Generali di Preferenze di Sistema ed è abilitata di default, naturalmente.

Antivirus-Mac

Quando nel corso della notte si è diffusa la notizia dell’individuazione della nuova variante Mdinstall.pkg, Apple ha immediatamente aggiornato in remoto l’elenco delle definizioni del malware contenute nel file di sistema XProtect.plist di Snow Leopard, aggiungendo la variante OSX.MacDefender.C.

Nella foto, a sinistra il file XProtect.plist di Snow Leopard dopo l’aggiornamento Security Update 2011-003 del 31 maggio con solo due definizioni di Mac Defender; a destra il file XProtect.plist aggiornato in remoto da Apple nel corso della notte del 2 giugno con la terza definizione della variante Mac Defender:

MacDefender 2

Approfondimenti: , , , ,

Argomento: Mac

Commenti (32)

RSS commenti

  1. Napoleone scrive:

    Io ho fatto l’aggiornamento Security Update 2011-003, quindi ora sono protetto automaticamente senza dover far altro?

  2. Stefano Donadio scrive:

    Esatto (Y) Le definizioni dei virus sono state aggiornate da Apple in remoto senza che tu facessi nulla.

  3. Armando82 scrive:

    Ma questo Mac Defender C che problemi crea se installato su un Mac?

  4. Stefano Donadio scrive:

    @ Armando: si tratta solo di una variante. In pratica è un finto antivirus che effettua una finta scansione e fa apparire in continuazione avvisi di virus presenti sul Mac della vittima (e fa aprire in continuazione siti porno). Poi chiede di comprare una licenza del software. Leggi anche MAC Defender e il pericolo virus che non c’è

  5. Felix The Cat scrive:

    Ho installato l’antivirus gratuito ClamXav dopo averne letto la recensione. Volevo sapere se è in grado di intercettare questo nuovo Trojan. Grazie.

  6. Stefano Donadio scrive:

    @ Felix The Cat: si (screenshot). Se non l’hai già fatto, devi solo aggiornare le definizioni dei virus con l’apposito pulsante che si trova nella barra degli strumenti di ClamXav.

  7. dactylium scrive:

    Buongiorno.

    Personalmente ho notato che il mio file XProtect.plist non è stato aggiornato con la nuova definizione del trojan (C), pur avendo spuntato l’opzione dell’update automatico nel pannello Sicurezza e avendo abilitato da Little Snitch l’accesso dell’applicazione XProtectUpdater ai server Apple.

    Da cosa può dipendere?
    Grazie per l’attenzione.

  8. Stefano Donadio scrive:

    @ dactylium: se sei sicuro che il file XProtect.plist non è stato aggiornato (per “leggerlo” correttamente serve l’utility Property List Editor), prova a disabilitare Little Snitch oppure inviami per email una copia del tuo file che verifico ;-)

  9. dactylium scrive:

    Ciao Stefano, grazie per la celere risposta.

    In effetti mi domandavo con quale programma fosse stato aperto il file plist negli screenshots allegati all’articolo.
    In ogni caso io l’ho semplicemente aperto con TextEdit, e non ho trovato al suo interno la stringa corrispondente alla variante C di Mac Defender.
    Tra l’altro il file risulta aver subito un’ultima modifica solo ieri (quando cioè ho installato il Security Update 2011-003).

    Un’altra stranezza che ho notato è la seguente.
    Avviando manualmente il programma XProtectUpdater (che suppongo sia l’utility che gestisce l’aggiornamento delle definizioni dei malware), il Terminale mi dice “Unable to write new signature meta plist”.

    Ringraziandoti in anticipo per la disponibilità, provvedo a inviarti il file plist via mail.
    Quando ne hai possibilità, giusto per scrupolo, potresti togliermi definitivamente il dubbio sul mancato aggiornamento.

    Grazie ancora.

  10. Giorgio scrive:

    Che applicazione si può usare per visualizzare i file .plist come in questa pagina?
    Grazie!

  11. Stefano Donadio scrive:

    @ Giorgio: devi usare l’utility Property List Editor che si trova nel pacchetto Developer del DVD Installer di Snow Leopard oppure devi acquistare Xcode (€4).

  12. Teo scrive:

    Complimenti!
    Spider-mac è stato il primo ad accorgersi dell’aggiornamento tempestivo di Apple.
    Guadagnando subito una citazione qui:
    http://www.macrumors.com/2011/06/02/apple-responds-quickly-to-evolving-mac-defender-threat-with-updated-malware-definitions/

    Grazie per l’ottimo lavoro.

  13. ilfolle scrive:

    grande stefano!!!Property List Editor si trova in qualsiasi dvd id sl?come si fa a trovarlo ed installarlo?

  14. dactylium scrive:

    @ Stefano: inizialmente, nonostante avessi seguito i tuoi suggerimenti, il file plist non voleva saperne di aggiornarsi.

    Ho poi risolto in un modo del tutto inaspettato e casuale.
    Ho rimosso la spunta di selezione alla nuova voce di aggiornamento nel pannello Sicurezza, scheda Generali.
    Quando ho di nuovo spuntato l’opzione per l’update automatico delle definizioni, il file è stato aggiornato (ne ho anche avuto conferma nell’elenco dei processi di Little Snitch: XProtectUpdater ha avuto accesso ai server Apple).

    Mi auguro che questa soluzione possa essere di aiuto anche a qualcun altro, e ti ringrazio sentitamente per i consigli e il tempo che mi hai dedicato.

    Ciao!

  15. Stefano Donadio scrive:

    @ ilfolle: devi installare il pacchetto Xcode che trovi sul DVD di Snow Leopard. L’utility la trovi in Computer/Developer/Applications/Utilities.

    @ dactylium: ottima e utilissima info (Y) (Y) (Y)

  16. Henry scrive:

    Salve a tutti,
    e un grazie a Stefano per la tempestiva info dell’articolo.
    Tuttavia mi resta un dubbio: e se io navigassi con Chrome o Firefox al posto di Safari, la protezione funziona ugualmente?
    Cioè se mi capitasse di scaricare il Malware con un altro browser che non sia Safari, la finestra di avviso comparirebbe lo stesso?
    (Snow Leopard con tutti gli ultimi updates).
    Grazie!

  17. Stefano Donadio scrive:

    @ Henry: è un dispositivo di sicurezza di Mac OS X, quindi si attiva non appena viene lanciato l’installer di Mac Defender, indipendentemente se il Trojan è stato scaricato con un (qualsiasi) browser, ricevuto via iChat, via e-mail o copiato da un CD/DVD o altro supporto.

  18. Henry scrive:

    Molto gentile Stefano, grazie per la risposta :)

  19. ilfolle scrive:

    ho installato xcode,lanciato il programmino ma la lista e desolatamente vuota…o items….perchè?
    ma esattamente il pacchetto xcode cosa contiene?

  20. Stefano Donadio scrive:

    @ ilfolle: Xcode è l’ambinete di sviluppo per Mac OS X e iOS. Se hai Snow Leopard 10.6.7 non è possibile che il file XProtect.plist sia vuoto.

  21. Curiosone scrive:

    Segnalo che aggiornando XProtect.plist ora viene aggiunta anche la variante OSX.MacDefender.D

    Ho tolto e rimesso il segno di spunta come suggeriva l’utente “dactylium” ed è partito l’aggiornamento, esaminando il file contiene anche la variante “OSX.MacDefender.D” adesso.

  22. ilfolle scrive:

    io confermo che la mia lista è desolatamente vuota…
    @stefano donadio:sul tuo profilo fb hai la foto dellamia schermata dove vedi la versione di osx e la lista vuota,perchè?

  23. Stefano Donadio scrive:

    @ ilfolle: dalla foto che hai allegato hai aperto un nuovo file “Untitled” e non “XProtect.plist”. Te ne accorgi guardando il nome del file nella barra.

  24. ilfolle scrive:

    è vero,hai ragione…ma non trovo il file xprotect.plist…non lo trova nemmeno usando spotpight…

  25. Stefano Donadio scrive:

    @ il folle: il file XProtect.plist si trova in

    Computer/Sistema/Libreria/CoreServices poi click con il tasto destro del mouse su CoreTypes.bundle, seleziona Mostra contenuto pacchetto e poi Contents/Resources/

  26. ilfolle scrive:

    trovato!!!grazie stefano!!confermo la presenza della versione d,all’items numero 9

  27. dactylium scrive:

    Per la cronaca segnalo che, oltre alla variante D già indicata da Curiosone, il file XProtect.plist risulta ora aggiornato anche a una variante E.

    Tuttavia, nel mio caso, per procedere all’aggiornamento delle definizioni, ho dovuto eseguire di nuovo la manovra manuale del “togli e metti” sul segno di spunta dell’update automatico nel Pannello Sicurezza.
    Sembra quindi che, quanto meno sul mio sistema (iMac mid 2007 con SL ultimi update), questa funzione automatica non funzioni proprio a dovere.

    Ciao.

  28. Tonino scrive:

    C’è gente al mondo che spreca la propria intelligenza per rompere i c….ni al prossimo ( producendo i virus, appunto ). A questa gente auguro che gli si possa seccare il pisello, senza possibilità di ricrescita. Spero Stefano mi perdoni per il post

  29. Luciano scrive:

    Io ho Mac OS X 10.6.7 ed ho cercato questa XProtect.list. Ma non la trovo. Come si può vedere ?

  30. Luciano scrive:

    Ho trovato la voce XProtect.list ma non é come compare nel blog, è scritta come le stringhe un po sbiadita e sono tutti numeri

  31. ilfolle scrive:

    confermo la presenza della versione E

  32. Curiosone scrive:

    Addirittura ora siamo alla variante O di Otranto (e include anche le precedenti F, G, HI, J, K, L, M ed N).

Aggiungi un commento