Flashback, più di 600 mila i Mac infetti

Malware Flashback, situazione più grave del previsto: sarebbero infatti oltre 600 mila i Mac infettati dal trojan in tutto il mondo.
Flashback, più di 600 mila i Mac infetti
Malware Flashback, situazione più grave del previsto: sarebbero infatti oltre 600 mila i Mac infettati dal trojan in tutto il mondo.

Nonostante la patch di riparazione distribuita ieri da Apple, il malware Flashback sembra aver colpito più duramente del previsto gli utenti Mac. Un rapporto di Dr. Web, una società russa specializzata in antivirus, rende noto infatti che sarebbero più di 550.000 i Mac infetti dal trojan sfruttante una grave vulnerabilità Java, cifra che è stata poi aggiornata e rivista in salita a 600.000 tramite un rapido update su Twitter. Sarebbero stati colpiti addirittura 274 Mac negli uffici Apple di Cupertino.

La notizia deve ancora essere confermata, ma secondo il rapporto la maggior parte dei sistemi infetti arriva dagli Stati Uniti con circa il 57% dei casi, seguiti dal Canada con il 20%. L’Italia pesa per lo 0,3% delle infezioni complessive. Il malware Flashback si fece “conoscere” lo scorso mese di settembre sotto forma di falso plug-in dedicato a Adobe Flash Player. Con il passare dei mesi il trojan è diventato sempre più complesso sfruttando alcune vulnerabilità nei client Java per browser. L’ultima variante ha colpito esclusivamente i sistemi Mac, dato che un recente aggiornamento aveva “salvato” le macchine Windows da questo problema.

I dati della diffusione mondiale del trojan Flashback secondo Dr. Web.

Con l’update disponibile da ieri anche per l’ecosistema della mela morsicata il problema pare sia stato risolto, anche se evidentemente numerose unità non hanno fatto in tempo ad evitare l’infezione. Nel caso si tema che il proprio Mac possa essere stato colpito dal Malware, la società di sicurezza cibernetica F-Secure, che aveva lanciato l’allarme, ha distribuito un procedimento utile per sfruttare il terminale in tal senso:

  • Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
  • Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
  • Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti
  • Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”
  • Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo punto e nel quarto
  • Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori
  • Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.

Ti consigliamo anche

Link copiato negli appunti