Sicurezza 7/7: Mac nel mirino di Flashback, Anonymous contro la Cina, Filtri porno e cyber monitoraggio in UK

AziendeMacMalwareSicurezzaWorkspace
600 mila Mac infettati dal trojan Flashback

Apple ha rilasciato la patch per arginare il trojan Flashback: 600 mila Mac infetti, Anonymous attacca centinaia di siti in Cina. In Gran Bretagna prove di tecnocontrollo e fltri porno

Mac nel mirino di Flashback Trojan: Il malware più insidioso per Mac è un pezzo di codice davvero abile, già mutato più volte da quando è stato scoperto la prima volta lo scorso anno. La sua ultima versione ha già infettato 600 mila Mac.
Chiamata OSX/Flashback.K sfrutta una nota vulnerabilità in Java SE6. Il trojan è in grado di installarsi in un sistema bypassando la password di admin. Secondo F-Secure  “il malware chiederà all’ignaro utente la password di amministratore. A prescindere che l’utente la inserisca o no, il malware tenterà di infettare il sistema, anche se inserire la password cambierà il modo in cui il sistema viene infettato”. Una volta infettato il sistema, il trojan cerca di scaricare un codice da un server remoto e di installarlo in uno dei due modi possibili, a seconda che la password sia stata inserita o no. Una volta che il malware ha assunto il controllo di Safari, viene lanciato, redirigendo l’utente su un certo sito.
La falla è stata chiusa a febbraio per Windows, ma Apple ha rilasciato la patch per OSX solo ieri. L’aggiornamento 1.6.0.31 del runtime blocca la possibilità di eseguire codice malware come Flashback. Ecco gli update: Java per Mac OS X 10.6 Update 7; Java for OS X Lion 2012-001.

F-Secure ha diffuso un modo per verificare la presenza del malware e rimuoverlo manualmente e raccomanda anche di disattivare Java dalla macchina finché la patch non è stata installata: dal terminale bisogna digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”; dopo aver annotato i codici DYLD_INSERT_LIBRARIES, si premere di nuovo invio; se appare la scritta “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti; nel caso in cui venga trovato il codice, si digita “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ”, appuntandovi il valore di fianco a “__ldpath__”; attraverso i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, si cancellano i file trovati nel secondo punto e nel quarto; se, dopo aver eseguito il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” appare il messaggio “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”, significa che il trojan è stato correttamente rimosso. In caso contrario, si riparte con “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori; infine con il comando “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, si cancellano i file.
L’unica situazione in cui Flashback.k può fallire il suo tentativo di infezione è quando incontra i percorsi di MS Word, MS Office 2008, MS Office 2011, o Skype. In quel caso il trojan si disinstallerà automaticamente e avvertirà l’utente della sua presenza.

600 mila Mac infettati dal trojan Flashback
600 mila Mac infettati dal trojan Flashback

L’unica situazione in cui Flashback.k può fallire il suo tentativo di infezione è quando s’incrocia con i percorsi di MS Word, MS Office 2008, MS Office 2011 oppure Skype. In quel caso il trojan si disinstallerà automaticamente e avvertirà l’utente della sua presenza.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore