Scoperta una nuova variante insidiosa del Trojan Flashback Mac. Come verificare se il Mac è stato infettato e come rimuoverlo
Intego ha annunciato di aver scoperto una variante del cavallo di Troia Flashback e che “molti utenti Mac sono stati infettati da questo malware”, in particolare dall’ultima variante, Flashback.G.
Intego spiega che il cavallo di Troia utilizza tre sistemi per infettare i computer Mac:
1 e 2) sfruttando due vulnerabilità Java, che secondo Intego permettono l’infezione senza alcun ulteriore intervento da parte dell’utente.
3) se le falle Java non sono sfruttabili, il Trojan mostra un certificato digitale, sostenendo falsamente che appartiene ad “Apple Inc”, se si clicca sul pulsante Continua, il malware si installa.
Per cadere vittima del Trojan Flashback, bisogna prima eseguire il software. Per definizione, i cavalli di Troia si travestono da altri tipi di software, ingannando l’utente che, per esempio, fa doppio click su un’icona per lanciare un nuovo software e così viene infettanto. Tuttavia, se state ancora utilizzando Snow Leopard e non avete aggiornato Java, una pagina web appositamente modificata potrebbe installare il malware senza ulteriori interventi da parte vostra.
Secondo Intego, la variante più recente Flashback.G può iniettare codice nel browser Web e in altre applicazioni che si connettono a Internet, spesso causandone il crash. Il Trojan intercetta nomi utente e password di siti (Banche, Google, PayPal e altri), e passa le informazioni a pirati informatici per usi fraudolenti.
Come parte del suo processo di installazione, il malware mette un file invisibile nella cartella /Users/Shared/, il nome file varia, ma utilizza una estensione .so. Il Trojan installa altri file in file /Users/Shared/.svcdmp, ~/.MACOSX/environment.plist e ~/Library/Logs/vmLog. E posiziona un applet Java in ~/Library/Caches.
Intego ha già fatto sapere che il suo software VirusBarrier X6 è in grado di rilevare Flashback se è installato, e persino impedirne l’installazione.
Se si sospetta di essere stati infettati, è possibile controllare via Terminale (Applicazioni/Utility) incollando il codice riportato qui sotto, e premendo Invio:
ls /Users/Shared/.*.so
Se la risposta che appare nel Terminale è “No such file or directory” NON siete stati infettati.
Se invece viene visualizzato un elenco di uno o più file con estensione .so e nessuna frase “No such file”, siete stati infettati dal malware.
Se si scopre di essere stati infettati, dovete rimuovere i file a cui si fa riferimento sopra o installare un software antivirus come Intego.
31 commenti
No such file or directory
Sono salvo!
Sempre Intego trova i nuovi virus che coincidenza molto bravi. Anche se io non credo nelle coincidenze ciao.
No such file or directory
No such file or directory…controllo ok!! soon salvo anch’io
Su Lion non funzionerebbe il malware non essendo Java preinstallato. Mi chiedo perché non rilascino uno strumento per rimuovere Java da Snow Leopard.
In tutti gli altri sistemi operativi si può disinstallare Java tranquillamente.
Eh…No such file or directory, in 5 macchine 😉
ciao io ho snowleopard 10.6.8, come faccio a verificare se sono infetto
ok niente ho risolto…..
non avevo letto bene l’articolo.
NON sono infetto!!!!!!!!
Prova effettuata e niente trojan.
Grazie Stefano per la segnalazione
Claudio ha perfettamente ragione, Intego=coincidenze
A me con Lion viene scritto: comand not found
@ Parsifal: prova a copiare e incollare nuovamente la stringa facendo attenzione a non aggiungere spazi.
Perfetto, grazie, mi appare No such fole or directory.
Grazie e cordialità
Parsifal
a me compare scritto: no match.
è lo stesso?
grazie 😉
@ Stefano: anche per te vale il consiglio di cui sopra, prova a copiare e incollare nuovamente la stringa facendo attenzione a non aggiungere spazi 😉
Grazie Stefano: tutto ok. Ciao !!!
Tutto perfetto! ma… tutte le persone che dice la Intego essere infette dove sono?….
Cmq GRAZIE come sempre a Stefano, la mia bibbia del mac….
io ho copiato e ricopiato una decina di volte la stringa, badando a non aggiungere spazi, e mi dà sempre: no match 🙁
Grazie : tutto ok. Ciao !!! Ma dite che va istallato un antivirus anche in sul Mac???? Naaaaaaa sui windows, fa perdere almeno il 20% di velocità……!!
Oggi ho cestinato per sempre un sito italiano concorrente che, pur di non citare Spider-mac, preferisce dare informazioni incomplete ed approssimative.
Indovinate un po qual’è?
io ho utilizzato questo sistema anche per tiger è mi dice nessun file,il malware può attaccare anche os 10.4?
@ ilfolle: Intego parla di Snow Leopard e Lion e solo se non è stato fatto l’aggiornamento Java che Apple ha rilasciato.
Grazie , senza di voi sarei perduto!
ok… e grazie
Teo ti prego, diccelo!
Il malware non si scarica e non si installa da solo. Se lo si lascia dov’è, sul computer non ci arriva….
E’ un sito tenuto da uno poco saggio ….
Io ho Leopard. Ho verificato e tutto ok. Comunque quando mi collego a eBay mi appare sempre la scritta che ” Safari non può verificare l’identità del sito web, ecc ecc “. Io comunque faccio continua e mi ci collego lo stesso, lo faccia da più di un anno ormai. Anche con MySpace mi chiede la stessa cosa e non ho avuto il coraggio di premere ” Continua “. Come mi devo comportare quando mi appare questo messaggio del certificato? Grazie
In teoria dovresti abbandonare MySpace.
Ma dovresti farlo pure con ebay…
Se vuoi entrare, entri ma lo fai a tuo rischio e pericolo…
@ Ratamusa
Lo faccio più da un anno anche con paypal e mai avuto problemi. Questo avviso esce anche collegandomi ai siti ufficiali. Quindi che faccio, non mi ci collego? Come si fa a riconoscere i veri siti? È questa la questione. Cmq grazie
Ciao!
ho appena scoperto di non essere infetta e ne sono felice, ma come faccio a risolvere il problema “Safari non può verificare l’identità del sito web”?
per favore, potete aiutarmi?