Il trojan Flashback ha infettato 600.000 Mac?

Notizie preoccupanti arrivano sul versante Mac, sebbene la credibilità della fonte sia tutta da verificare. Secondo la società antivirus russa Dr Web, vi sarebbero oltre 600.000 computer targati Mela infettati dal trojan Flashback, recente minaccia di OS X che Apple ha corretto con un update Java nella giornata di ieri. Ma i numeri dichiarati sembrano tutto fuorché realistici.

Il malware Flashback è apparso in rete qualche settimana fa: si tratta di un exploit che sfrutta una vulnerabilità Java per aver accesso a dati e documenti del computer in uso, con cui ci si infetta visitando siti dal codice corrotto. Pare esservi, tuttavia, una discriminazione al contagio: l’utente deve inserire la propria password.

Dr Web, forse per sponsorizzare i propri servizi di sicurezza, ha dichiarato ieri di essere certo dell’esistenza di una botnet formata da 600.000 Mac infetti, quasi tutti dislocati negli Stati Uniti e in Canada. E non è tutto, perché addirittura 274 macchine sarebbero di stanza nientemeno che al Campus di Cupertino. Possibile che la stessa Apple non si accorga dei virus sui propri computer?

Le cifre appaiono sicuramente sovrastimate, considerato come 600.000 Mac siano un numero elevato per la distribuzione dei computer Apple nel mondo, più esigua della controparte Windows. Oltre alla password, inoltre, il malware può essere contratto solamente utilizzando Safari, mentre i browser più utilizzati su OS X sono Firefox e Chrome. In attesa di scoprire se questa botnet esista davvero, F-Secure ha rilasciato una facile guida per scoprire se il trojan alberga nel proprio computer. Di seguito il procedimento:

• Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
• Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
• Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti
• Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”
• Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo punto e nel quarto
• Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori
• Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.

Al momento, nessun utente che ha commentato sulle fonti a nostra disposizione ha segnalato di essere infetto. Per evitare di incorrere in brutte sorprese future, è però necessario effettuare l’aggiornamento Java rilasciato ieri e utilizzare browser alternativi a Safari. La regola più efficiente, tuttavia, è quella di non inserire la propria password di sistema per programmi di dubbia o confusa provenienza.