English
No virus
Probabilmente alcune software house che producono Anti-virus o Anti-malware cercano di ri-lanciare la notizia di un pericoloso Virus trovato, finalmente, anche per Mac.
Un centro di ricerca, che qualche quotidiano sostiene di aver contattato, dichiara di aver scovato un Virus proprio per quei sistemi operativi, Mac OSX o Linux, che per loro natura sono immuni da questi sofisticati software virulenti che sfruttano le carateristiche di insicurezza insite nella progettazione di alcuni sistemi operativi.
Sappiamo che Steve Jobs aveva chiesto a tutti i suoi ingegneri di progettare un sistema operativo (OSX) basandosi sulle caratteristiche dei sistemi Unix/Linux che hanno un radicato un modello di gestione dei permessi di scrittura/lettura ed esecuzione di ogni componente software presente sulla memoria.
In questi giorni nei quotidiani di tutto il mondo, come nelle pagine web di alcuni produttori di Antivirus, viene pubblicata la notizia relativa alla scoperta di un Virus Malizioso denominato “OSX.Tsunami” che progettato per sistemi Linux starebbe infettando anche il mondo Apple.
Scrivo questo articolo sopratutto in rispetto degli ingegneri Apple che hanno lavorato assiduamente proprio per fornirci un sistema operativo che non si infetta a differenza degli altri sistemi distribuiti su i tanti Pc.
Infatti il cosidetto OSX.Tsunami non puo’ essere considerato un Virus, ma è un codice che viene classificato come Trojan di Risk Level:1 Very Low (Rischio molto basso)
Vedimo ora come debellarlo senza spendere nulla, con un semplice passo visto che questo “Cavallo Troiano” sfrutta le oramai note pericolosita’ dei canali IRC e dei quali pochi utenti Mac fanno uso.
Sebbene girando per la rete si leggano sedicenti giornalisti ed esperti che consigliano di “stare in campana” e suggeriscono di acquistare questo o quell’antivirus, ritengo che istallare un’antivirus su un sistema Mac sia pressochè inutile, a meno di stallarlo pel solo fatto di poter verificare se alcuni files posseggono dei virus per sistemi Winows e che comunque non avrebbero alcun effetto sul nostro sistema Apple ma che potrebbero infettare un eventuale Pc collegato allo stesso network.
Vediamo quindi come Symantec , una tra le piu’ note aziende di antivirus, classifica questa minaccia Tsunami:
OSX.Tsunami
Risk Level 1: Very Low
- Discovered: October 26, 2011
- Updated: October 27, 2011 4:20:38 AM
- Type: Trojan
- Infection Length: 42,348 bytes
Threat Assessment
Wild
- Wild Level: Low
- Number of Infections: 0 – 49
- Number of Sites: 0 – 2
- Geographical Distribution: Low
- Threat Containment: Easy
- Removal: Easy
Damage
- Damage Level: Medium
- Payload: Opens a back door.
Rimuovere OSX.Tsunami da soli
Dettagli tecnici
Livello di pericolosità: 3 – Media
Distribuzione: Bassa
Danno: Basso
Disperdibilità: Bassa
Nome completo del virus: Trojan.MAC / tsunami @ Altri
Codice Tipo: Trojan o Cavallo di Troia: un programma che sembra essere benefico o utile, ma si rivela essere dannoso ad un certo punto. Non si diffonde da solo.
Piattaforme interessate: Apple MAC Osx e può colpire diversi sistemi operativi della famiglia Mac OSX
Capacità di soggiorno permanente: Se eseguito automaticamente ogni volta che il sistema riparte
Alias:
OSX / tsunami-A (Sophos)
Backdoor: OSX / Tsunami.A (F-Secure)
Capacità di auto-propagazione: No. Manca di una propria procedura di diffusione.
Puo’ infettare il sistema nei seguenti modi: Deve essere installato manualmente dall’utente
Infezione / EffettiTsunami Quando viene eseguito, si comporta nel modo seguente:
a) Modifica il file:
“/ System / Library / LaunchDaemons / com.apple.logind.plist”
b) Crea il seguente file come una copia di se stesso:
“/ usr / sbin / logind”
La sua funzione principale è quella di causare Distributed Denial of Service (DDoS). Inoltre permette il download dei file sul computer infetto ed eseguire comandi.
Comunica con il server di comando e controllo attraverso il protocollo IRC. Nella schermata successiva è possibile vedere una collezione di comandi che possono ricevere dal cavallo di Troia:
Alcuni server IRC a cui si collega il cavallo di Troia sono i seguenti:
x.lisp.su: 6667 | Canale #harbour
Il codice sorgente di questo Trojan è un adattamento per Mac OS X uno esistente, dal 2002, sulla piattaforma Linux.
Nota: Se sul vostro Mac e’ installato un programma di contrrollo del traffico come ad es. Little Snich o Hands Off il rischio che non riusciate a bloccare la connessione malevola e’ molto limitato.
Disinfezione e rimozione di OSX.Tsunami
Se si ritiene di essere infettati, poiche’ sono state trovate connessioni alla porta 6667 server attraverso un firewall o un programma come Little Snich o Hand Off, è possibile effettuare le seguenti operazioni per disinstallare il Malware:
Aprire il file:
/Macintosh HD / System / Library / LaunchDaemons / com.apple.logind.plist
se il sistema e’ in italiano:
/Macintosh HD/Sistema/Libreria/LaunchDaemons/
e aprite il file chiamato:
“com.apple.logind.plist”
e se questo file è stato effettivamente infettato da questo trojan, si avrà il seguente contenuto:
Nota: Dato che questo file si trova in una directory di sistema, può essere necessario uno strumento come TextWrangler o TextEdit o Dashcode per essere in grado di autenticare correttamente e modificare il file.
Se il file “com.apple.logind.plist” e’ stato modificato dal Trojan sarà necessario modificare il file con il seguente:
Eliminare il file /usr/sbin/logind
Successivamente verificare se il processo canaglia logind è stato installato sul vostro sistema. Nel Finder, scegliere “Vai alla cartella” (“Go to Folder”) dal menu andare e poi digitare “/usr/sbin” (senza virgolette) nel campo di testo. Finder dovrebbe aprire le directory nascoste di sistema (nel caso abilitate dale preferenze di sistema “visualizza files e cartelle nascoste e di sistema”), nel quale è possibile cercare e rimuovere il file chiamato “logind” se è presente. Quando si rimuove, il sistema vi chiederà la password di amministratore, quindi fornire per eliminare il file.
Il Gioco e’ fatto e senza spendere un solo centesimo in costose procedure antivirus segnalate senza una vero approfondimento a riguardo.
Considerazioni personali:
Mi trovo basito ogni qualvolta leggo articoli e interviste su quotidiani nazionali che recitano frasi quali:
“Anche gli utenti Mac nel mirino” , che hanno lo scopo, spesso involontario, di allarmare una comunità di utenti che non corre alcun pericolo.
Ciò che minaccia gli utenti Mac, al pari di tutti gli utenti di qualsiasi sistema, è spesso il loro comportamento spregiudicato su internet. Benchè gli utenti Mac Osx siano molto più tutelati degli altri utilizzatori di sistemi consumer propietari, dato che hanno un sistema basato su architettura simile a quella di Unix e per cui non rischiano i Virus veri e propri.
Ma tutti noi, dal piu’ esperto al meno, dobbiamo fare attenzione ai comportamenti, a non lanciare o abilitare file sospetti e di attenersi alle regole anti-Phishing in quanto attraverso un computer collegato alla internet si possono involontariamente fornire informazioni riservate , come passwords, in siti che ci appaiono ufficiali ma in realta’ sono dei cloni malefici preparati ad arte da criminali.
Infatti il trojan tsunami.osx di cui abbiamo parlato si presenta all’utente come un documento Pdf che magari contiene un articolo in lingua cinese. Appena l’utente ignaro apre il file, questo tenterà di far partire l’installazione di un processo, questa istallazione sara’ celata aprendo un vero documento pdf che distrarrà l’utente. A questo punto il trojan/malware procede e completa l’installazione e piazzerà il “cavallo di Troia” sul vostro sistema.
Quindi un Trojan non e’ un Virus ma una procedura che istalleremo noi , poiche’ ci siamo fatti ingannare..
Take care!
No related posts.
Commenti
Lascia un commento Trackback