Apple ha rilasciato l’aggiornamento Java che mette il necessario cerotto (patch) alla vulnerabilità che aveva favorito la diffusione del trojan Flashback. Come da promesse, Cupertino non ha fatto passare troppo tempo dal momento dell’annuncio del pericolo alla diffusione del rimedio ufficiale. Sarà possibile adottarlo andando su Aggiornamento Software e selezionando proprio questo componente da installare in pochi minuti. Oltre a bloccare il pericolo (ricordiamo che però Microsoft e Linux avevano già aggiornato Java da tempo, bloccando sul nascere problemi come Flashback), l’update disabilita anche l’esecuzione automatica delle applet Java, ossia programmi scritti in linguaggio Java per esser eseguiti da un Web browser. C’è anche un altro metodo per eliminare Flashback oltre che per scoprire se si è infetti, scopriamolo.
Si dice spesso che i Mac siano immuni dall’infezione di virus, ma è solo in parte vero visto che esistono pochissimi elementi maligni creati per i computer di Apple. Tra questi, recentemente è apparso il trojan Flashback che ha colpito 600.000 macchine con una percentuale dello 0.3 percento del panorama italiano. Niente di particolarmente pericoloso a livello globale (tranne che nel Nord America), dunque, ma comunque un fastidio da eliminare immediatamente. Ma come fare per capire se il proprio Mac è stato infettato e soprattutto come cancellare il malware senza fatica? Arrivano in soccorso due risorse, di Apple e della società specializzata nella sicurezza informatica F-Secure.
Il malware sarà ricordato come uno dei più malefici degli ultimi anni, uno dei pochi realizzati per i Mac, che è riuscito a infettare non soltanto 600.000 computer in giro per il mondo, compresi 274 modelli direttamente in sede a Cupertino. Dunque anche in casa a Apple, che però ha immediatamente rilasciato un codice per tappare la falla senza problemi. Ma come nasce Flashback, qual è la porta di servizio che trova aperta per insinuarsi all’interno del sistema, scavalcando le protezioni?
Flashback si insinua nel sistema sfruttando una vulnerabilità Java del browser di casa, Safari. In principio si mostrava come un’estensione di Flash da installare in modo subdolo, successivamente si è evoluto ed è riuscito a eludere le intercettazioni dei sistemi antivirus. Ecco il link per scaricare la patch prodotta direttamente da Apple per andare a rattoppare la falla. Secondo le prime stime lo 0.3 percento delle macchine colpite si trova proprio in Italia.
La maggior parte è negli USA con il 57% delle infezioni mentre il Canada è al 20%, dunque è un malware che ha spopolato in Nord America e in misura nettamente minore nel resto del mondo. I computer infettati componevano una sorta di rete zombie – botnet – che si accresceva andando a colpire nuovi modelli. Per cancellare e eliminare questo problema, oltre alla patch di Apple, è possibile anche sfruttare i consigli di F-Secure utilizzando il Terminale di Mac OS. Disabilitare Java è il primo passo, poi:
- Da Terminale digitare: defaults read /Applications/Safari.app/Contents/Info LSEnvironment
- Se compare: The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist , allora non si è infetti
- Se sì, allora digitare grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ; appuntarsi il valore a fianco di __ldpath__
- Digitare sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment e sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
- Cancellare i file nel secondo punto e nel quarto punto
- Digitare defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES; se si riceve il messaggio The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist allora il malware non esiste più
- Altrimenti, digitare nuovamente grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% prendendo nota dei valori
- Digitare defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES e cancellare i punti precedentemente annotati
E voi, siete stati infettati? Se sì, avete risolto?
I commenti sono chiusi.