Flashback è forse uno dei trojan più ardui da scovare mai rilasciato per piattaforma Mac OS X: in passato avevamo già visto altri malware per il sistema operativo di Apple, ma quasi tutti prevedevano una serie di passaggi per essere installati e l’immissione della password di sistema. Flaschback, invece, si camuffa da installazione Java, non richiede la password e ha già infettato 600.000 computer. In questo articolo spiegheremo come fare per scoprire se il tuo Mac è stato infettato e come fare per eliminarlo.
Il malware è mascherato da aggiornamento Java, ma la cosa più pericolosa è il fatto che, per installarsi, non richiede alcuna password: è sufficiente lanciarlo per far partire il processo di installazione. Una volta installato, il trojan comprometterà la sicurezza del Mac. La via per evitare di installarlo è quella di non scaricare aggiornamenti Java da siti sospetti. Anzi, è altamente consigliato effettuare l’eventuale update direttamente da “Aggiornamento Software”: in questo modo avrete la certezza di non installare alcun tipo di trojan.
Inoltre, ricordiamo che basta fare un po’ di attenzione per non incappare in questi malware. Mac OS X è strutturato in modo tale che nulla si installa in automatico, ma c’è sempre bisogno dell’operato dell’utente, e in questo caso basterebbe leggere l’avviso in rosso relativo al certificato “non valido” in fase di installazione del presunto update di Java per capire che non si tratta di nulla di buono.
In ogni caso, ei 600.000 Mac infetti, il 57% si trova negli USA e il 20% in Canada. In Italia solo lo 0.3% delle macchine è stato infetto.
Ma per essere sicuri di non aver infettato il Mac, cosa bisogna fare? Il trojan Flashback ha un’estensione di tipo “.so” e per scovarlo si possono utilizzare degli antivirus come F-Secure o Intego o la procedura manuale che andremo a spiegare.
Come scovare manualmente il trojan Flashback
Flaschback installa un file invisibile in /Users/Shared del sistema operativo, con un nome che può variare di caso in caso. Inoltre, altri file vengono installati nei seguenti percorsi: /Users/Shared/.svcdmp , ~/.MACOSX/environment.plist , ~/Library/Logs/vmLog. Infine viene posizionato un applet Java in ~/Library/Caches.
Per scoprire se tali file sono stati installati sul Mac, aprite Terminale (lo trovate in Applicazioni/Utility) e digitate la seguente stringa seguita dal tasto Invio:
ls /Users/Shared/.*.so
Se il risultato è “No such file or directory” (come da immagine in alto) significa che il trojan non è presente sul vostro Mac. Se, invece, viene visualizzato un elenco di file con estensione “.so”, allora il malware è presente sul vostro Mac.
Come eliminare il trojan Flashback
Per ripararsi fin da subito bisogna disabilitare Java dalle Impostazioni di Safari: aprire le Preferenze del programma, andate in Sicurezza e togliete la spunta dalla voce “Abilita Java”. Ora, per eliminare il trojan FlaschBack bisogna seguire i seguenti passaggi:
1. Lancia Terminale e digita la seguente stringa:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2. Prendi nota dei codici DYLD_INSERT_LIBRARIES e premi nuovamente Invio
3. Se si riceve un messaggio di errore del tipo “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” significa che il Mac non è stato infetto
4. Se i file vengono trovati, digita in Terminale la stringa
grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2%
e prendi nota del valore che compare accanto a “__ldpath__”
5. Esegui i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando quindi i file trovati nel secondo e nel quarto punto
6. Esegui il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori.
7. Ora dopo aver eseguito nuovamente il comando “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancella i file indicati nei punti precedenti.
ATTENZIONE: alcune varianti del trojan Flashback includono componenti aggiuntive, che richiedono degli step in più per essere eliminate. In questo caso si consiglia di rivolgersi ad un esperto e di leggere la pagina di supporto che trovate qui.
FONTE: SlideToMac
ARTICOLI CORRELATI:
Lorenzo Lanzarone
![Oggi è un giorno molto speciale, TechEarthBlog compie 7 anni di vita e siamo particolarmente orgogliosi di condividere questo importante traguardo con voi. In sette anni sono sicuramente accadute tantissime vicende nel mondo della tecnologia e dell’informatica, ma grazie alla passione e all’impegno costante siamo sempre riusciti ad adattarci ai […]](https://www.techearthblog.it/wp-content/uploads/2018/04/IMMAGINE-PROFILO-36x36.png "TechEarthBlog compie 7 anni! [VIDEO]"){kind=small}
![Pochi giorni fa, durante il Mobile World Congress 2018 di Barcellona, Samsung ha presentato ufficialmente i suoi due nuovi smartphone top di gamma: Galaxy S9 e Galaxy S9+, con design e caratteristiche all’avanguardia. Scopriamo insieme tutte le novità di questi due nuovi smartphone! ARTICOLI CORRELATI:Samsung Galaxy S IV: ecco un […]](https://www.techearthblog.it/wp-content/uploads/2018/04/Galaxy-S9-1-36x36.jpg "Samsung presenta i nuovi Galaxy S9 e Galaxy S9+: ecco tutte le novità! [FOTO + VIDEO]"){kind=small}
![In questo articolo farò l’unboxing e la recensione del nuovo iPhone X di Apple. Il nuovo smartphone top di gamma dell’azienda di Cupertino è un dispositivo innovativo, dal design curato e dalle ottime caratteristiche tecniche che lo rendono uno dei migliori smartphone sul mercato. Scopriamo insieme tutti i dettagli! ARTICOLI CORRELATI:Politique for […]](https://www.techearthblog.it/wp-content/uploads/2017/12/MINIATURA-iPhone-X-REVIEW-36x36.png "iPhone X: la recensione di TechEarthBlog del nuovo smartphone Apple [FOTO + VIDEO]"){kind=small}
![In questo articolo farò l’unboxing e la recensione delle AirPods, i nuovi auricolari wireless di Apple. Si tratta di uno dei modelli di cuffie senza fili più apprezzati del momento sia dagli utenti che dalla critica. Degli auricolari wireless innovativi e dal design curato, che allo […]](https://www.techearthblog.it/wp-content/uploads/2017/12/MINIATURA-AirPods-REVIEW-36x36.png "AirPods: la recensione di TechEarthBlog degli auricolari wireless Apple [FOTO + VIDEO]"){kind=small}
![Durante il keynote organizzato da Apple allo Steve Jobs Theater dell’Apple Park di Cupertino, la mela morsicata ha presentato il nuovo iPhone X. Questa innovativo smartphone introduce un nuovo design, display Super Retina, Face ID, chip A11 Bionic, nuove fotocamere e molte altre novità. Scopriamo insieme tutti i dettagli del […]](https://www.techearthblog.it/wp-content/uploads/2017/09/iPhone-X-1-36x36.jpg "Apple presenta il nuovo iPhone X: ecco tutte le novità! [FOTO + VIDEO]"){kind=small}
![Durante il keynote organizzato da Apple allo Steve Jobs Theater dell’Apple Park di Cupertino, la mela morsicata ha presentato i nuovi iPhone 8 e iPhone 8 Plus. Questa nuova generazione di smartphone introduce processori e fotocamere migliorate, ricarica wireless e molte altre novità. ARTICOLI CORRELATI:iPhone 8: il […]](https://www.techearthblog.it/wp-content/uploads/2017/09/iPhone-8-1-36x36.jpg "Apple presenta i nuovi iPhone 8 e iPhone 8 Plus: ecco tutte le novità! [FOTO + VIDEO]"){kind=small}
