Virus per Mac Osx, le solite storie. Tsunami è un semplice trojan Pdf

No virus

Probabilmente alcune software house che producono Anti-virus o Anti-malware cercano di ri-lanciare la notizia di un pericoloso Virus trovato, finalmente, anche per Mac.
Un  centro di ricerca, che qualche quotidiano sostiene di aver contattato, dichiara di aver scovato un Virus proprio per quei sistemi operativi, Mac OSX o Linux, che per loro natura sono immuni da questi sofisticati software virulenti che sfruttano le carateristiche di insicurezza insite nella progettazione di alcuni sistemi operativi.
Sappiamo che Steve Jobs  aveva chiesto a tutti i suoi ingegneri di progettare un sistema operativo (OSX) basandosi sulle caratteristiche dei sistemi Unix/Linux che hanno un radicato un modello di gestione dei permessi di scrittura/lettura ed esecuzione di ogni componente software presente sulla memoria.

In questi giorni nei quotidiani di tutto il mondo, come nelle pagine web di alcuni produttori di Antivirus, viene  pubblicata la notizia relativa alla scoperta di un Virus Malizioso denominato “OSX.Tsunami” che progettato per sistemi Linux starebbe infettando anche il mondo Apple.

Scrivo questo articolo sopratutto in rispetto degli ingegneri Apple che hanno lavorato assiduamente proprio per fornirci un sistema operativo che non si infetta a differenza degli altri sistemi distribuiti su i tanti Pc.

Infatti il cosidetto OSX.Tsunami  non puo’ essere considerato un Virus, ma è un codice che viene classificato come Trojan di Risk Level:1 Very Low (Rischio molto basso)

Vedimo ora come debellarlo senza spendere nulla, con un semplice passo visto che questo “Cavallo Troiano” sfrutta le oramai note pericolosita’ dei canali IRC e dei quali pochi utenti Mac fanno uso.

Sebbene girando per la rete si leggano sedicenti giornalisti ed esperti che consigliano di “stare in campana” e suggeriscono di acquistare questo o quell’antivirus, ritengo che istallare un’antivirus su un sistema Mac sia pressochè inutile, a meno di stallarlo pel solo fatto di poter verificare se alcuni files posseggono dei virus per sistemi Winows e che comunque non avrebbero alcun effetto sul nostro sistema Apple ma che potrebbero infettare un eventuale Pc collegato allo stesso network.

Vediamo quindi come Symantec , una tra le piu’ note aziende di antivirus, classifica questa minaccia Tsunami:

OSX.Tsunami

Risk Level 1: Very Low

Discovered: October 26, 2011
Updated: October 27, 2011 4:20:38 AM
Type: Trojan
Infection Length: 42,348 bytes
OSX.Tsunami is a Trojan horse that opens a back door on the compromised computer.Note: This threat is based on Linux.Backdoor.Kaiten.

Threat Assessment

Wild

  • Wild Level: Low
  • Number of Infections: 0 – 49
  • Number of Sites: 0 – 2
  • Geographical Distribution: Low
  • Threat Containment: Easy
  • Removal: Easy

Damage

  • Damage Level: Medium
  • Payload: Opens a back door.
Dalla scheda succitata è facile intuire che questo Trojan o Malware non e’ un Virus, come tanti vorrebbero far intendere.
Ma proprio per il rispetto per i tecnici Apple di cui parlavo qualche riga piu in su i3Factory pubblica i semplici passi da seguire per

Rimuovere OSX.Tsunami da soli

Dettagli tecnici
Livello di pericolosità: 3 – Media
Distribuzione: Bassa
Danno: Basso
Disperdibilità: Bassa

Nome completo del virus: Trojan.MAC / tsunami @ Altri
Codice Tipo: Trojan o Cavallo di Troia: un programma che sembra essere benefico o utile, ma si rivela essere dannoso ad un certo punto. Non si diffonde da solo.
Piattaforme interessate: Apple MAC Osx e può colpire diversi sistemi operativi della famiglia Mac OSX
Capacità di soggiorno permanente: Se eseguito automaticamente ogni volta che il sistema riparte
Alias:
OSX / tsunami-A (Sophos)
Backdoor: OSX / Tsunami.A (F-Secure)
Capacità di auto-propagazione: No. Manca di una propria procedura di diffusione.
Puo’ infettare il sistema nei seguenti modi: Deve essere installato manualmente dall’utente

 

Infezione / EffettiTsunami Quando viene eseguito, si comporta nel modo seguente:

a) Modifica il file:
“/ System / Library / LaunchDaemons / com.apple.logind.plist”
b) Crea il seguente file come una copia di se stesso:
“/ usr / sbin / logind”

La sua funzione principale è quella di causare Distributed Denial of Service (DDoS). Inoltre permette il download dei file sul computer infetto ed eseguire comandi.

Comunica con il server di comando e controllo attraverso il protocollo IRC. Nella schermata successiva è possibile vedere una collezione di comandi che possono ricevere dal cavallo di Troia:

Alcuni server IRC a cui si collega il cavallo di Troia sono i seguenti:
pingu.anonops.li: 6667 | Canale  #tarapia.
x.lisp.su: 6667 | Canale #harbour
Il codice sorgente di questo Trojan è un adattamento per Mac OS X uno esistente, dal 2002, sulla piattaforma Linux.

Nota: Se sul vostro Mac e’ installato un programma di contrrollo del traffico come ad es. Little Snich o Hands Off  il rischio che non riusciate a bloccare la connessione malevola e’ molto limitato.

Disinfezione e rimozione di OSX.Tsunami

Se si ritiene di essere infettati, poiche’ sono state trovate connessioni alla porta 6667 server attraverso un firewall o un programma come Little Snich o Hand Off, è possibile effettuare le seguenti operazioni per disinstallare il Malware:

Aprire il file:

/Macintosh HD / System / Library / LaunchDaemons / com.apple.logind.plist

se il sistema e’ in italiano:

/Macintosh HD/Sistema/Libreria/LaunchDaemons/

e aprite il file chiamato:

“com.apple.logind.plist”

e se questo file è stato effettivamente infettato da questo trojan, si avrà il seguente contenuto:

Nota: Dato che questo file si trova in una directory di sistema, può essere necessario uno strumento come TextWrangler o TextEdit o Dashcode per essere in grado di autenticare correttamente e modificare il file.

Se il file “com.apple.logind.plist” e’ stato modificato dal Trojan sarà necessario  modificare il file con il seguente:


Eliminare il file /usr/sbin/logind
Successivamente verificare se il processo canaglia logind è stato installato sul vostro sistema. Nel Finder, scegliere “Vai alla cartella” (“Go to Folder”) dal menu andare e poi digitare “/usr/sbin” (senza virgolette) nel campo di testo. Finder dovrebbe aprire le directory nascoste di sistema (nel caso abilitate dale preferenze di sistema “visualizza files e cartelle nascoste e di sistema”), nel quale è possibile cercare e rimuovere il file chiamato “logind” se è presente. Quando si rimuove, il sistema vi chiederà la password di amministratore, quindi fornire per eliminare il file.

 

 

Il Gioco e’ fatto e senza spendere un solo centesimo in costose procedure antivirus segnalate senza una vero approfondimento a riguardo.

 

Considerazioni personali:
Mi trovo basito ogni qualvolta leggo articoli e interviste su quotidiani nazionali che recitano frasi quali:
“Anche gli utenti Mac nel mirino” , che hanno lo scopo, spesso involontario, di allarmare una comunità di utenti che non corre alcun pericolo.
Ciò che minaccia gli utenti Mac, al pari di tutti gli utenti di qualsiasi sistema, è spesso il loro comportamento spregiudicato su internet. Benchè gli utenti Mac Osx siano molto più tutelati degli altri utilizzatori di sistemi consumer propietari, dato che hanno un sistema basato su architettura simile a quella di Unix e per cui non rischiano i Virus veri e propri.

Ma tutti noi, dal piu’ esperto al meno, dobbiamo fare attenzione ai comportamenti, a non lanciare o abilitare file sospetti e di attenersi alle regole anti-Phishing in quanto attraverso un computer collegato alla internet si possono involontariamente fornire informazioni riservate , come passwords, in siti che ci appaiono ufficiali ma in realta’ sono dei cloni malefici preparati ad arte da criminali.

Infatti il trojan tsunami.osx di cui abbiamo parlato si presenta all’utente come un documento Pdf che magari contiene un articolo in lingua cinese. Appena l’utente ignaro apre il file, questo tenterà di far partire l’installazione di un processo, questa istallazione sara’ celata aprendo un vero documento pdf che distrarrà l’utente. A questo punto il trojan/malware procede e completa l’installazione e piazzerà il “cavallo di Troia” sul vostro sistema.

Quindi un Trojan non e’ un Virus ma una procedura che istalleremo noi , poiche’ ci siamo fatti ingannare..

Take care!

 

 

 

 

5 commenti:

  1. Ciao, e’ da poche ore che ho un problema. Tutte le icone sono sparite dalla scrivania (lasciando pero’ scritti i nomi) e da tutte le altre cartelle (a parte applicazioni). Il dock, e’ evaporato. Riesco comunque ad entrare nelle varie cartelle, e vedo che i file effettivamente ci sono, ma li apre SOLO con Adobe Fireworks, indipendentemente che siano foto, doc o txt.
    Aggiungo che anche il font di sistema e’ cambiato.

    Potrebbe trattarsi di questo malware o qualcosa di simile?

    Grazie,
    Ilaria.

    • Ciao ancora e grazie per la mail!
      Alla fine ho risolto reinstallando l’Os e tutto e’ tornato come prima. A quanto pare si dev’essere danneggiata qualche plist, forse per colpa di cleanmymac.

      Buona giornata,

      I.

    • Igor Wolfango Schiaroli

      Ciao Ilaria,
      hai controllato se nelle cartelle che ho indicato nell’artcolo ci son i files che contraddistingono questo malware? comunque piu’ che un Trojan sembra che tu abbia istallato qualcosa che ti blocca la visualizzazione dei files… quindi ti consiglio comunque di verificare con un programma come mackeeper e prima fare un backup dei files importanti su un hd esterno…
      come ho scritto nell’articolo non esistono virus veri e propri ma solo programmi che se lanciati possono comportarsi come virus, non fanno danni irreparabili a differenza dei virus per win

  2. Ciao Igor ,
    Ho letto questo articolo sui virus e trojan, molto fico.
    Però, dato che io uso molto IRC, mi sono preoccupato ed ho fatto un
    controllo.
    Non ho trovato il file esattamente come lo descrivi tu ma solo
    questi due:

    com.apple.loginwindow.plist
    com.apple.loginwindow.secureerase.plist

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*