Flashback, Apple ha già aggiornato: ma non è un virus

 

Ancora una volta la stampa pubblica frasi d’impatto per far credere che anche il sistema Apple sia stato infettato da un Virus.

Sicuramente un tipo di infezione c’e’ stata ma come già avevamo spiegato in un precedente articolo , i sistemi basati su unix molto difficilmente possono essere infettati da virus veri e propri.

Quel che sta succedendo in questi giorni è che un Malware, e non un virus, ha infettato alcuni mac i cui utenti hanno disgraziatamente istallato una falsa estensione per flash, che di norma non andrebbe istallata senza le dovute precauzioni.

Chi possiede un Mac sa benissimo che il proprio sistema funziona a dovere e che prima di istallare aggiornamenti al di fuori dei metodi automatici e tradizionali bisogna informarsi in quanto si può rischiare qualche sorpresa.

Spiegheremo ora come rimuovere questo malware denominato Flashback, ma prima di farlo vi proporrò ancora una volta la differenza tra Virus informatico  e malware.

Riprendendo un vecchio articolo di youtek.it (http://youtek.it/differenza-tra-virus-e-malware/)  cerchiamo di capire le differenze , che a volte sembrano dei veri e propri rompicapo dei tecnici;

Cos’è un virus?

E’ un frammento di software, che una volta avviato infetta file,cartelle, registro di sistema insomma tutto cio’ che trova sul nostro pc! Ovviamente piu’ e’ potente il virus piu’ danni causa.

Spesso quelli di alta’ pericolosita’ sono difficilmente rintracciabili dall’utente.

Cos’è un Malware?

E’ un qualsiasi software creato per danneggiare un computer o un sistema informatico. Dove esso puo’ causare vari danni di varie identita’. Non a caso il nome MALWARE che significa letteralmente “Programma Malvagio” o piu’ corretto chiamarlo Codice Maligno.

 

Cio’ che non mi piace è che molti autorevoli testate giornalistiche hanno aperto la sezione tecnologia con titoli e sottotitoli che inneggiavano al fatto che Apple avesse un virus, che avesse perso la verginità e che addirittura questo suddetto virus fosse pericolosissimo.

Risulta totalmente inutile cercare di capire il motivo di tanta superficialità, ignoranza e poca innocenza da parte di quei giornalisti che, senza pudore, scrivono di cose si cui non capiscono quasi nulla o peggio hanno solo voglia di confondere le idee , già peraltro confuse, dei tanti lettori che si definiscono non tecnici.

La verità e la decenza

Ovviamente la verità non è a disposizione di tutti ma cercherò comunque di definire l’argomento e di spiegare come rimuovere questo malware.

L’allarme infezione viene lanciato da Dr. Web, un’azienda russa di antivirus, e prontamente Apple ha già rilasciato il codice (patch) per evitare di incappare in questo pericolo poiché Flashback viene istallato nel sistema utilizzando una vulnerabilità Java dei browser internet Safari camuffandosi da estensione per Flash che viene chiesto di istallare.

Per evitare che il proprio mac sia esposto a rischi, è necessario installare quanto prima la patch Java proposta da Apple.

Queste le note di rilascio da Cupertino:

Java per Mac OS X 2012-001 fornisce una migliore compatibilità, sicurezza e affidabilità aggiornando Java SE 6 alla versione 1.6.0_31.

Chiudi tutti i browser e le applicazioni Java prima di installare questo aggiornamento.

Consulta: http://support.apple.com/kb/HT5055?viewlocale=it_IT  per ulteriori dettagli su questo aggiornamento.

Consulta: http://support.apple.com/kb/HT1222?viewlocale=it_IT  per informazioni sul contenuto di sicurezza di questo aggiornamento.

oppure

e’ stata rilasciata un’ applicazione  di terze parti che, vi permette in due fasi il controllo:

  1. Scaricate FlashbackChecker – Download
  2. Decomprimere ed eseguire l’applicazione FlashbackChecker e cliccate sul pulsante “Check for Infection Flashback”

Se viene visualizzata la voce “No Signs of infection were found”(Nessuna infezione è stata trovata) significa che le probabilità che il vostro Mac sia infetto sono bassissime. Se invece appare un messaggio “Potential Issue found” (Trovato Potenziale problema) il vostro Mac potrebbe essere infetto.

Rimozione Manuale

Di seguito riportiamo rimozione del malware come redatta da F-Secure.

1 – Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
2 – Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
3 – Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti.
4 – Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”
5 – Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo punto e nel quarto.
6 – Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori.
7 – Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.

Scheda del Malware 

Come riportato da F-Secure il malware viene definito come trojan (cavallo di troia)

Detection Names:Trojan-Downloader:OSX/Flashback.K

Category :Malware
Type:Trojan-Downloader
Platform:OSX

Summary

Trojan-Downloader:OSX/Flashback.K connects to a remote site to download its payload; on successful infection, the malware modifies targeted webpages displayed in the web browser.

Disinfection 

Manual Removal

Caution: Manual disinfection is a risky process; it is recommended only for advanced users. Otherwise, please seek professional technical assistance.
Manual Removal Instructions

  • 1. Run the following command in Terminal:defaults read /Applications/Safari.app/Contents/Info LSEnvironment
  • 2. Take note of the value, DYLD_INSERT_LIBRARIES
  • 3. Proceed to step 8if you got the following error message:”The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
  • 4. Otherwise, run the following command in Terminal:grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step2%
  • 5. Take note of the value after “__ldpath__”
  • 6. Run the following commands in Terminal (first make sure there is only one entry, from step 2):sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

  • 7. Delete the files obtained in steps 2 and 5
  • 8. Run the following command in Terminal:defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  • 9. Take note of the result. Your system is already clean of this variant if you got an error message similar to the following:”The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
  • 10. Otherwise, run the following command in Terminal:grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step9%
  • 11. Take note of the value after “__ldpath__”
  • 12. Run the following commands in Terminal:defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

    launchctl unsetenv DYLD_INSERT_LIBRARIES

  • 13. Finally, delete the files obtained in steps 9 and 11.
  • 14. Run the following command in Terminal:ls -lA ~/Library/LaunchAgents/
  • 15. Take note of the filename. Proceed only when you have one file. Otherwise contact our customer care.
  • 16. Run the following command in Terminal:defaults read ~/Library/LaunchAgents/%filename_obtained_in_step15% ProgramArguments
  • 17. Take note of the path. If the filename does not start with a “.”, then you might not be infected with this variant.
  • 18. Delete the files obtained in steps 15 and 17.

Additional Details

Trojan-Downloader:OSX/Flashback.K is dropped by malicious Java applets that exploit the known CVE-2012-0507 vulnerability.

On execution, the malware will prompt the unsuspecting user for the administrator password. Whether or not the user inputs the administrator password, the malware will attempt to infect the system, though entering the password will affect how the infection is done.
Installation

There are two files that are dropped and executed on the system when users visited a malicious webpage.

The first file is an updater component. It is dropped in the users home folder. It may have the default filename “.jupdate” or a filename supplied by the malicious webpage. The filename will always start with a “.”.

A launch point is then created for the updater component in the ~/Library/LaunchAgents folder. It may have the default filename “com.java.update.plist” or a filename supplied by the malicious webpage.

On the first execution, this component reports to the following:

  • http://[…]31.31.79.87/[…]/stat_svc/

On the second execution and onwards, it connects to a hard coded list of addresses to download it’s update.

The second file is the downloader component just like the previous variants. It is dropped and executed in the /tmp folder. It may have the default filename “Update” or a filename supplied by the malicious webpage.

The malware then reports to the following location whether it successfully exploited the system or not:

  • http://[…]31.31.79.87/[…]/stat_j/%result%

Downloading the Payload

The malware connects to the following URL to download its payload:

  • http://[…]31.31.79.87/[…]/counter/%encoded_data%Where decoded data follows this format:
    • %hardware_UUID|%machine_architecture%|%kernel_version%|0|%architecture_of_malware_process%|
      %current_hardware_type_of_system%|%is_user_daemon%

      • %is_user_daemon% is “1” if the process is running as the first OS X user account or daemon “0” otherwise

The filename and actual content of the payload depends on reply of the remote host. The reply is compressed and encrypted but the actual content follows this format:

  • %encoded_filename%|%encoded_binary1_content%|%encoded_payload_config%| %encoded_binary2_content%|%encoded_png_content%Where:
    • Binary 1We were not able to obtain the payload during our analysis. However based on previous variants, binary1 is most likely the malware’s main component. It hijacks CFReadStreamRead and CFWriteStreamWrite by creating an interposition to these functions. The malware modifies contents returned or send by these APIs. It targets the contents of specific webpages, as determined by config information returned by the remote host.
  • Binary 2We were not able to obtain the payload during our analysis. However based on previous variants, binary2 is most likely a filter component that will load binary1 only into a targeted process. This is to avoid crashing incompatible applications and raising the user’s suspicions. In the sample that we analyzed, it targets the Safari web browser.

Infection

Only after downloading the payload does Flashback.K proceed with infecting the machine. To do so, the malware prompts for the administrator password.

Whether or not the user inputs their administrator password at the prompt determines the type of infection the malware subsequently performs:

 

Infection Type 1

If the user inputs their administrator password, the malware will create the following files:

  • /Applications/Safari.app/Contents/Resources/.%decoded_filename%.png – contains %decoded_binary1_contents% and %decoded_payload_config%
  • /Applications/Safari.app/Contents/Resources/.%decoded_filename%.xsl – contains %decoded_binary2_contents%

The malware then creates a launch point, inserting the following line into “/Applications/Safari.app/Contents/Info.plist”:

  • <key>LSEnvironment</key><dict><key>DYLD_INSERT_LIBRARIES</key>
    <string>/Applications/Safari.app/Contents/Resources/.%decoded_filename%.xsl</string></dict>

This in effect will inject binary2 into Safari when the browser is launched.

If the malware was able to infect the system this way, it reports success to the following URL:

  • http://[…]31.31.79.87/[…]/stat_d/

If it failed to infect the system, the malware reports to the following URL:

  • http://[…]31.31.79.87/[…]/stat_n/

 

Infection Type 2

In cases where the user did not input their administrator password, the malware checks if the following path exists in the system:

  • /Applications/Microsoft Word.app
  • /Applications/Microsoft Office 2008
  • /Applications/Microsoft Office 2011
  • /Applications/Skype.app

If any of these are found, the malware again skips the rest of its routine and proceeds to delete itself, presumably to avoid infecting a system that has an incompatible application installed.

If none of the incompatible applications are found, the malware will create the following files:

  • ~/Library/Application Support/.%decoded_filename%.tmp – contains %decoded_binary1_contents% and %decoded_payload_config%
  • /Users/Shared/.libgmalloc.dylib – contains %decoded_binary2_contents%

The malware then creates a launch point by creating “~/.MacOSX/environment.plist”, containing the following lines:

  • <key>DYLD_INSERT_LIBRARIES</key>
    <string>/Users/Shared/.libgmalloc.dylib</string>

This in effect will inject binary2 into every application launched by the infected user.

For this infection type, the malware reports the successful infection to the following URL:

  • http://[…]31.31.79.87/[…]/stat_u/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*