Warning: Undefined array key "tbm_guide_level" in /data/websites/htmlit/web/app/themes/htmlit/src/ViewModel/Post/Templates/SingleGuide.php on line 113

Warning: Trying to access array offset on value of type null in /data/websites/htmlit/web/app/themes/htmlit/src/ViewModel/Post/Templates/SingleGuide.php on line 113

Warning: Undefined array key "tbm_guide_level" in /data/websites/htmlit/web/app/themes/htmlit/src/ViewModel/Post/Templates/SingleGuide.php on line 113

Warning: Trying to access array offset on value of type null in /data/websites/htmlit/web/app/themes/htmlit/src/ViewModel/Post/Templates/SingleGuide.php on line 113
Trojan Flashback: rimuoverlo da Mac OS X | HTML.it
Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
learn
About

Trojan Flashback: rimuoverlo da Mac OS X

Individuiamo e rimuoviamo il trojan Flashback da Mac OS X
Individuiamo e rimuoviamo il trojan Flashback da Mac OS X
Filippo Vendrame
Pubblicato il 12 apr 2012
Link copiato negli appunti

Flashback, conosciuto anche come Flashfake, è un trojan che si maschera come finto aggiornamento per il Flash Player di Adobe e sfrutta una falla di sicurezza di Java per installarsi nel computer ospite. In quest'ultima variante (BackDoor.Flashback.39), colpisce prevalentemente i computer con sistema operativo Mac OS X. Sebbene infatti in origine Flashback fosse stato concepito anche per colpire i computer Windows, un aggiornamento di sicurezza della piattaforma Java distribuito da Microsoft in passato, ha eliminato definitivamente ogni possibile rischio di contagio.

Apple, non avendo invece distribuito in precedenza il medesimo aggiornamento di sicurezza, ha di fatto esposto tutti i suoi utenti al rischio di contagio. Questa lacuna ha fatto si che il malware Flashback si diffondesse velocemente tra i computer Mac.

Un recente rapporto di Dr. Web, società russa specializzata in sicurezza informatica, ha confermato che sarebbero oltre 600 mila i computer Mac colpiti dal malware, localizzati per lo più negli Stati Uniti (57%) e nel Canada (20%). Per quanto riguarda l'Italia, i computer Mac colpiti da Flashback sarebbero fortunatamente pochi, pari al 0,3% del totale.

Figura 1. Mappa diffusione Flashback trojan
(clic per ingrandire)


Mappa diffusione Flashback trojan

Dati confermati anche da Kaspersky Lab 670 mila computer Mac colpiti da Flashback

Figura 2. Diffusione Flashback secondo Kaspersky
(clic per ingrandire)


Diffusione Flashback secondo Kaspersky

Dr. Web e Kaspersky Lab confermano dunque che Flashback è da considerarsi come la più grande infezione ai danni di dispositivi Mac mai registrata sino ad ora. La vastità di questa infezione ripropone inoltre il crescente problema della messa in sicurezza dei computer Mac che erroneamente vengono considerati a "prova di virus".

Sino a qui la teoria, ma come fare adesso per verificare se il proprio computer è stato contagiato da Flashback eliminare la minaccia Flashback

Partendo dalla descrizione della modalità di infezione proposta da F-Secure, Juan I. Leòn, uno sviluppatore indipendente, ha realizzato "FlashbackChecker verifica la presenza del malware Frashback

Figura 3. FlashbackChecker
(clic per ingrandire)


FlashbackChecker

In caso di positività, la stessa F-Secure ha spiegato sul proprio sito come rimuovere manualmente il malware terminale del computer Mac

Rimozione manuale Flashback

La procedura, da eseguire con attenzione, è la seguente:

Da terminale, digitare:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

Segnarsi a questo punto i codici "DYLD_INSERT_LIBRARIES" e dare ancora invio. Se apparirà a questo punto la scritta "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist" , allora potete tirare un sospiro di sollievo perché vorrà dire che il vostro computer non è infetto.

Viceversa, in caso di positività, a terminale scrivete:

grep -a -o ‘__ldpath__[ -~]*' %percorso_del_punto_2%

e segnatevi i valori accanto a "__ldpath__".

Da terminale eseguite ancora:

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

e in seguito

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

andando poi a cancellare i file che troverete nel secondo e quarto punto.

Ancora da terminale eseguire:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

e se vi apparirà la scritta "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist" allora avrete debellato il malware, altrimenti eseguite eseguite ancora:

grep -a -o ‘__ldpath__[ -~]*' %percorso_del_punto 4%

e segnatevi i valori.

Eseguite ancora:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES

andando a cancellare poi i file indicati nei punti precedenti.

Rimozione automatica Flashback trojan

Se siete poco pratici dei comandi da terminale, potrete utilizzare il tool completamente automatico "Removal Tool Flashfake" fornito da Kaspersky Lab.

Figura 4. Removal Tool Flashfake
(clic per ingrandire)


Removal Tool Flashfake

Questo piccolo software in pochi passaggi verifica la presenza di Flashback e ne rimuove le componenti

Una volta rimosso Flashback dal nostro computer Mac, o dopo aver appurato che non ne siamo affetti, per scongiurare definitivamente la minaccia è vivamente consigliabile scaricare e installare l'aggiornamento di Java

Infine, se volete debellare per sempre il rischio di contrarre un'infezione per il vostro computer Mac, potete pensare di provare ad installare sul vostro computer uno dei tanti antivirus gratuiti per Mac

Indice lezioni

Ti consigliamo anche

Sicurezza

Raspberry Pi: configurare un firewall
Linux

Come generare e gestire chiavi GPG su Linux
Sicurezza

Guida ad SSH, il protocollo di rete
Sicurezza

Creare una finta identità virtuale