Trojan Flashback.K, come scoprire se il tuo Mac è infetto

Ieri Doctor Web, una software house russa che sviluppa anti-virus, ha lanciato un allarme senza precedenti: sarebbero ben 600.000 i Mac infettati da Flashback.K, un trojan che nell’ultima versione nota sfrutta una falla di Java per installarsi senza il consenso dell’utente.
Oracle ha fornito un aggiornamento di sicurezza che risolve il bug Java già a febbraio ma Apple, che gestisce in autonomia gli aggiornamenti della Java SE di OS X, ha lasciato passare inspiegabilmente un paio di mesi prima di fornire un aggiornamento che è arrivato solo pochi giorni fa.

Il colpevole ritardo, dunque, sarebbe stato sufficiente a permettere la notevole diffusione del malware segnalata da Dr. Web.
F-Secure ha fornito nei giorni scorsi una breve procedura da seguire per verificare se un Mac è infetto. La procedura è relativamente semplice anche se bisogna passare per il Terminale.
Prima di procedere, nel caso non lo aveste ancora fatto, installate immediatamente gli ultimi aggiornamenti Java per Lion e Snow Leopard.

Come funziona Flashback.K

Prima di tutto un breve background sulle modalità di infezione. Spiega il report di Dr. Web:

“I sistemi vengono infettati da Backdoor.Flashback.39 dopo che un utente viene re-indirizzato ad un sito fasullo da una risorsa compromessa o attraverso un sistema di distribuzione del traffico. Del codice JavaScript viene poi utilizzato per caricare una applet Java che contiene l’exploit.[…]
L’exploit salva un file eseguibile sull’hard disk del Mac infetto. If file viene utilizzato per scaricare un payload da un server remoto che viene poi lanciato.”

Chi fosse interessato a maggiori dettagli li può trovare nel report diffuso da Dr.Web

Come capire se il tuo Mac è infetto

La procedura per scoprire se l’infezione ha coinvolto anche il Mac che stiamo usando non è difficile da mettere in pratica.
F-Secure offre una guida in 13 passaggi. Noi ve ne riproponiamo qui di seguito una versione tradotta:

1 – Aprite il Terminale e lanciate questo comando:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2 – Prendete nota del valore di DYLD_INSERT_LIBRARIES
3 – Se ricevete il seguente messaggio di errore, procedete al punto 8.
"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
4 – Se non ricevete messaggi di errore, dopo aver preso nota del valore, lanciate questo comando:
grep -a -o 'ldpath[ -~]' %Percorso_di_cui_avete_preso_nota_al_punto_2%
5 – Prendete nota del valore che segue la dicitura “ldpath”
6 – Lanciate questi due comandi (prima assicuratevi che vi sia un solo valore, dal punto 2)

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

(vi verrà chiesta la password di sistema per sudo)
7 – Cancellate i file di cui avete ottenuto il percorso ai punti 2 e 5
8 – Lanciate questo comando:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9 – Prendete nota del risultato. Se ricevete un messaggio di errore come quello che segue, il Mac su cui state lavorando non è infettato da questa variante di Flashback.K
"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

10 – In caso contrario lanciate questo comando:
grep -a -o 'ldpath[ -~]' %percorso_ottenuto_al_punto_9%

11 – Prendete nota del valore dopo “ldpath”
12 – Lanciate questi due comandi:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES

13 – Cancellate i file di cui avete ottenuto i percorsi ai punti 9 e 11.

[via Apple 2.0]