PDA

Visualizza versione completa : Security Il virus Flashback infetta oltre 600.000 Mac, ecco come rimuoverlo



janet
06-04-12, 16: 26
Secondo l'articolo di Repubblica, un virus avrebbe colpito oltre 600.000 Mac e l'Apple avrebbe rilasciato un codice per risolvere il bug.
L'allarme sarebbe stato dato da un sito russo e il virus Flashback si insinuerebbe nel computer utilizzando una vulnerabilità java del browser Safari. Secondo il report sarebbero stati infettati anche 274 Mac nella sede della società della mela a Cupertino.
Ad ogni modo, il 57% delle macchine infette è negli Usa, il 20% in Canada. In Italia si stima un trascurabile 0,3% di macchine collegate alla Botnet di Flashback.
nel link anche il sistema per guarire il Mac.
Fonte (http://www.repubblica.it/tecnologia/2012/04/05/news/un_worm_infetta_600mila_mac_ecco_come_rimuovere_il _virus-32811422/?ref=glpr)

Eres
07-04-12, 09: 56
Magari fosse così semplice eliminare virus da Widows :ghgh

K.a.o.s.
07-04-12, 13: 58
La cosa curiosa è che se trova installato Word/Office o Skype si elimina da solo e non infetta la macchina. Alcuni avanzano l'idea che sia incompatibile con loro.

Eres
09-04-12, 10: 05
La cosa curiosa è che se trova installato Word/Office o Skype si elimina da solo e non infetta la macchina. Alcuni avanzano l'idea che sia incompatibile con loro.
Interessante, Antivirus Office :ghgh

janet
09-04-12, 23: 49
è che il virus ha un payload con due componenti, uno dei quali agisce da filtro, evitando certi programmi su cui non agisce almeno da quello che è scritto anche qui su F Secure (http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_k.shtml)
Come si prende l'infezione e come agisce

In questo caso il virus all'insaputa dell'utente scrive un piccolo programma di istallazione che si potrebbe chiamare Jupdate. Mkeeper. Flserv,. Nulla o. Rserv.
Inoltre l'applet java corrotta scrive un file di avvio che lancerà continuamente il programma una volta che l'utente è connesso.
Dopo ciò il virus inserisce il suo codice in applicazioni, in particolare nel browser web e questo è in grado di inviare immagini e dati personali a server remoti.
Al fine di evitare di essere rivelato, secondo gli esperti il virus cercherà i file relativi a strumenti antivirus, del tipo
/ Library / Little Snitch
/ Developer / Applications / Xcode.app / Contents / MacOS / Xcode
/ Applications / VirusBarrierPeeper.app
e cercherà di eliminarli.
A questo punto il programma Jupdate, si collega al server remoto e scarica il suo payload che consta di due componenti, uno esegue la cattura e l'invio dei file personali, l'altro è un filtro in grado di far agire il malware solo su alcune applicazioni, in modo da evitare il crash del computer.
Dopo aver scaricato il payload inizia l'infezione vera e propria del computer.
All'utente apparirà una casella di aggiornamento software e verrà richiesto di fornire le proprie password ma anche se non lo si fa, il virus trova altri sistemi per andare in fondo ai suoi scopi.
Nel primo caso agisce un file chiamato “Info.plist" che si trova nella cartella “contenuti” di ogni aplicazione e che viene letto ogni volta che il programma è aperto. Se invece non si fornisce la password agisce un file che si chiama "environment.plist" e si trova all'interno dell'account utente in una cartella nascosta (~ / .MacOSX / environment.plist).
Questo ultimo file può essere utilizzato per lanciare dei parametri qualsiasi applicazione venga aperta.
Ovviamente, nel secondo caso ci potrebbero essere dei crash ed ecco che funziona il filtro del virus stesso, che fa sì che i comandi agiscano solo con alcune applicazioni, come ad esempio Safari, Firefox e Skype.

K.a.o.s.
11-04-12, 01: 57
Al fine di evitare di essere rivelato, secondo gli esperti il virus cercherà i file relativi a strumenti antivirus, del tipo
...
/ Developer / Applications / Xcode.app / Contents / MacOS / Xcode

Xcode un antivirus :oo2?
Non vedo motivazioni sul bloccare un ide (non dubito che lo faccia, ma solo non capisco il perché).

K.a.o.s.
13-04-12, 01: 08
http://i.imgur.com/PNjVL.png
Ironico invece che Kaspersky abbia eliminato il suo tool di rimozione: Kaspersky Lab suspends Flashback-fighting tool | Macworld (http://www.macworld.com/article/1166333/kaspersky_lab_suspends_flashback_fighting_tool.htm l#lsrc.rss_main)
In pratica si sono accorti che erroneamente eliminava settaggi dell'utente, configurazioni nei browser e dati condivisi. :ghgh

Clairvoyant
16-04-12, 23: 08
E' interessante notare che il 95% (http://news.drweb.com/show/?i=2341&lng=en&c=14) dei Mac infettati si trovi in paesi anglofoni.

Sembra quasi un attacco mirato...

:bai

LadyHawke
17-04-12, 22: 15
Kaspersky ha comunque offerto un supporto tangibile agli utenti creando questo (http://flashbackcheck.com/) sito "ad hoc" dal quale si può verificare in tempo reale se il nostro Mac è infetto oppure no: si deve solo inserire il codice identificativo della macchina (UUID) e far verificare a KAV.
Il codice UUID si trova da: Informazioni su questo Mac-->Più informazioni-->Resoconto di sistema

Nel caso di infezione si può scaricare la versione trial del KAV per Mac

:bai

Eres
18-04-12, 06: 57
In pratica si sono accorti che erroneamente eliminava settaggi dell'utente, configurazioni nei browser e dati condivisi:ghgh
:tap :tap

janet
19-04-12, 20: 08
in uno degli ultimi bollettini (http://www.symantec.com/connect/blogs/flashback-cleanup-still-underway-approximately-140000-infections)Symantec che monitorano l'infezione, a parte che si parla di un veloce calo iniziale dei computer infetti e poi di uno stallo attorno ai 140.000 casi ancora, ma sopratutto è ribadito, il fatto che una settimana dopo Flashback è arrivato il malware Sabpad, che sfrutta sempre la vulnerabilità java.
L’infezione Sabpab può essere confermare dalla presenza dei seguenti file:
/Users/<user>/Library/Preferences/com.apple.PubSabAgent.pfile
/Users/<user>/Library/LaunchAgents/com.apple.PubSabAGent.plist
Secondo Kaspersky, come è già avvenuto nei sistemi Windows, questi attacchi mirati diverranno la norma.

Kirk78
20-04-12, 15: 33
Capisco e mi dispiace sinceramente per le persone che hanno avuto questa infezione, ma se sento qualcun'altro che mi dice che i mac non possono essere infettati, che sono sicuri al 101% e altre cose simili gli do il link o la stampa di questo articolo (grazie janet) e gli faccio :oo2 e poi gli faccio vedere il portatile con Ubuntu :ghgh

:bai

Curiosità: lo sapete mentre scrivevo chi mi ha chiamato? Kaspersky: che avessero letto anche loro questo articolo e stanno chiamando tutto il mondo? :ghgh

K.a.o.s.
20-04-12, 16: 36
@Kirk78

Ogni tanto di trojan/malware ne saltano fuori anche per Mac e Linux (Linux/Rst-B (http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Linux~Rst-B.aspx) , Documentazione di Ubuntu: https://help.ubuntu.com/community/Linuxvirus). :oo2
Alla fine è impossibile essere completamente sicuri.

Evitiamo il tipico allarmismo dei giornali, blog e altri siti che tentano così di scatenare flames per ottenere visite, spesso con articoli che farebbero rizzare i capelli a chi conosce un minimo di informatica.

Inoltre prendiamo con le pinze anche le dichiarazioni delle case antivirus: sono anni che dicono di aspettarci a breve la diffusione di virus su Linux e Mac con l'accrescere della popolarità delle piattaforme. Eppure ogni volta (fino ad ora :ghgh) non si è mai avverato nulla. Ovviamente tentano sempre di cavalcare l'onda di news come questa per guadagnarci con i loro AV.

In questo caso è colpa di Apple che non ha aggiornato Java. Tuttavia bisogna anche dire che per rendere i Mac più sicuri non preinstallano né Flash né Java. Poi appena 1-2 giorni dopo la diffusione della notizia è arrivata la correzione della falla e l'aggiornamento stesso elimina il trojan. La soluzione di disabilitare Java quando non viene utilizzato per un lungo periodo è particolare, infatti in questo modo si limita notevolmente la diffusione di altri possibili malware che sfruttano falle di Java (che sono abbastanza comuni).

Kirk78
20-04-12, 16: 54
Ciao K.a.o.s. non ho mai detto che Linux sia esente al 100% da problemi, ma invece spesso ho sentito che i Mac sono esenti al 100%, è su questo che dissento. Qualsiasi assolutismo, per me, è sbagliato.
Sono daccordo con te che le dichiarazioni delle ditte antivirus vanno sempre prese con le pinze e i guanti alla CSI.

Alla fine è impossibile essere completamente sicuri.
Confermo e sottoscrivo, anche per i Mac però.

Evitiamo il tipico allarmismo dei giornali, blog e altri siti che tentano così di scatenare flames per ottenere visite, spesso con articoli che farebbero rizzare i capelli a chi conosce un minimo di informatica.
Spero che non parli di CT ! Altrimenti disssssento, questo sì al 101% :oo2
:bai

K.a.o.s.
20-04-12, 17: 02
Ciao K.a.o.s. non ho mai detto che Linux sia esente al 100% da problemi, ma invece spesso ho sentito che i Mac sono esenti al 100%, è su questo che dissento. Qualsiasi assolutismo, per me, è sbagliato.
Sì sicuramente è sbagliato dire esente al 100%, sia per problemi che per virus (possono essere inclusi nella categoria "problemi"? :eye)

Spero che non parli di CT ! Altrimenti disssssento, questo sì al 101% :oo2
Ma no, anzi, qui mi sembra non ci sia stato nulla del genere. Su altri siti ho visto proprio una disinformazione pura. Ma non mi sono curato di lor :ghgh. Per certa gente c'è poco da fare.

:bai2