Il malware Flashback dai PC Apple OS X si rimuove così

Il malware Flashback, che ha trasformato 600mila Mac in una botnet di computer zombie, sta preoccupando tutti i possessori di computer della Mela. Il problema è scaturito da una vulnerabilità di Java e in queste ore Apple ha distribuito non uno ma ben due update che - se non l'avete ancora fatto - dovete assolutamente scaricare e installare tramite l'aggiornamento di sistema.

Chi ha già contratto il malware però potrebbe volerne non solo sapere di più, ma anche capire come debellarlo. Flashback inietta del codice nei browser che cattura e invia screenshot e altre informazioni personali a server remoti. Per "contrare" questa minaccia vi basta andare senza volerlo su una pagina infetta con una vecchia versione vulnerabile di Java. Il malware penetra nel vostro PC e scrive un applet chiamato .jupdate nell'account utente - il punto davanti al nome non lo fa apparire nella visualizzazione predefinita del Finder.

L'applet si occupa di scrivere un file launcher chiamato "com.java.update.plist" nella cartella utente ~/Library/LaunchAgents/, in modo da poter avviare sempre .jupdate a ogni collegamento dell'utente. Per evitare di essere rilevato, l'installer  cerca la presenza di antivirus o strumenti che potrebbero rintracciarlo e nel caso trova qualcosa, il malware si cancella.

Nel caso non ci sia alcuna barriera di sicurezza - cosa probabile su un Mac - il programma jupdate si connette a un server e scarica un payload, che è il vero e proprio malware formato da due parti. La prima cattura e fa l'upload di informazioni personali, mentre la seconda è un filtro che impedisce al malware di avviarsi a meno che non vengano attivati programmi specifici come i browser.

Una volta attivato il malware presenta un avviso all'utente su un update software, chiedendo ai malcapitati di inserire le loro password. Se l'utente dà queste informazioni, il gioco è fatto e non c'è niente da fare: altera il file  Info.plist nella cartella Contents e si avvia con specifici programmi come Safari e Firefox. 

La mappa della botnet...dove ha colpito il malware Flashback?

Se non viene immessa la password, il malware modifica il file environment.plist e funziona con qualsiasi applicazione aperta, portando a crash e malfunzionamenti. Con questo abbiamo spiegato come agisce, ma come potete rilevarlo? Dovete aprire il terminale  e impartire i seguenti comandi:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Queste righe leggeranno il file Info.plist di alcune applicazioni e il file environment.plist dell'account utente, in modo da determinare se la variabile usata dal malware - chiamata DYLD_INSERT_LIBRARIES - è presente. Se non c'è, i tre comandi lo diranno, ma la rilevano vi indicheranno il percorso in cui si trova il malware. 

Con il comando  "ls -la ~/../Shared/.*.so" (senza virgolette) si possono anche trovare file .so invisibili inseriti da precedenti versioni del malware. Anche in questo caso potreste non trovarli, ma se vi appare una lista eravate infettati. Infine, passiamo alle soluzioni per rimuovere Flashback, rese note dall'azienda F-Secure (la variante I). Non si tratta di passaggi alla portata di tutti, e non esenti da potenziali rischi di problemi. In ogni caso, se pensate di avere le giuste competenze, aprite il terminale e avviate i seguenti comandi (senza virgolette):

1. Digitate "defaults read /Applications/Safari.app/Contents/Info LSEnvironment"

2. Segnatevi da qualche parte i codici DYLD_INSERT_LIBRARIES e date Invio

Se ottenete un messaggio di errore non siete infetti.

3. Se la ricerca restituisce dei file, digitate "grep -a -o '__ldpath__[ -~]*' %percorso _ di_cui_avete_preso_nota_nel_punto _2%" e segnatevi il valore accanto a "__ldpath__"

4. Avviate i comandi "sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment" e "sudo chmod 644 /Applications/Safari.app/Contents/Info.plist", così da cancellare i file trovati in precedenza (sarà richiesta la password).

5. Date il comando "defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES". Se vi appare il messaggio "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist" avete rimosso il trojan.

6. Se non vi appare il messaggio precedente, date il comando "grep -a -o '__ldpath__[ -~]*' %percorso_del_passaggio 4% “, e segnatevi i valori.

7. Eseguite "defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES" e cancellate i file rilevati in precedenza.

F-Secure spiega anche come cancellare la variante K del malware. Potete leggere la procedura qui. Difficile dire se questo caso, che a quanto pare però ha fatto vittime soprattutto negli Stati Uniti e in Canada, sia la prova provata che il Mac è diventato un bersaglio dei malintenzionati al pari di Windows. 

Per ora è "troppo poco" per fare paragoni tra i due ecosistemi, ma una cosa è certa: chi dice che un Mac è sicuro a prescindere, sbaglia, e questa è una buona regola da ricordare quando si parla di qualsiasi software, specie di sistemi operativi su cui girano altri programmi che possono essere la causa di problemi ben più gravi.