Una società di sicurezza ha stimato il numero di Mac infettati dal malware Flashback arrivando alla conclusione che oltre mezzo milioni di Mac sono vittima del virus. Tale cifra, documentata anche dal Kaspersky Lab, significherebbe che Flashback ha infettato poco più dell’1 per cento dei 45 milioni di Mac esistenti al mondo.

I dati confermano le stime precedenti di Doctor Web, un’altra azienda di sicurezza in Russia che aveva detto che 600.000 Mac erano stati infettati da Flashback. Un dato curioso è che sono state rilevate 274 macchine infette a Cupertino, in California, dove si trova il suo quartier generale di Apple.

La diffusione di Flashback nel mondo

Per rimuovere manualmente Flashback vi consigliamo di seguire la guida qui sotto, è in inglese ma se avete dubbi chiede pure nei commenti:

[toggle_box title=”Guida alla rimozione di Flashback” width=”Width of toggle box”]

Head to the Terminal to check for infection

These Terminal commands will give you an easy way to find out whether you have a possible Flashback infection.

First, launch Terminal from /Applications/Utilities on your Mac. Then individually type or paste these three lines into the Terminal:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

If the Terminal returns back to you lines that look like this:

The domain/default pair of (/Users/jacqui/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist

The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist

Then you’re home free and you’re not (yet) infected by Flashback. You can proceed to the “Run Software Update” section of this post. If they do return results, then it’s likely that you are infected. But worry not, as there are ways to get rid of the malware that will only hurt for a second.

How to get rid of Flashback

Here’s where things might get complicated. These removal instructions are from security research firm F-Secure’s removal page. Take us away, F-Secure! (Cue Keyboard Cat now.)

  1. Run the following command in Terminal:defaults read /Applications/Safari.app/Contents/Info LSEnvironment
  2. Take note of the value, DYLD_INSERT_LIBRARIES
  3. Proceed to step 8 if you got the following error message: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
  4. Otherwise, run the following command in Terminal:grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%
  5. Take note of the value after “__ldpath__”
  6. Run the following commands in Terminal (first make sure there is only one entry, from step 2):sudo defaults delete /Applications/Safari.app/Contents/InfoLSEnvironmentsudo chmod 644 /Applications/Safari.app/Contents/Info.plist
  7. Delete the files obtained in steps 2 and 5
  8. Run the following command in Terminal:defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  9. Take note of the result. Your system is already clean of this variant if you got an error message similar to the following: “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
  10. Otherwise, run the following command in Terminal:grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%
  11. Take note of the value after “__ldpath__”
  12. Run the following commands in Terminal:defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIESlaunchctl unsetenv DYLD_INSERT_LIBRARIES
  13. Finally, delete the files obtained in steps 9 and 11.
  14. Run the following command in Terminal:ls -lA ~/Library/LaunchAgents/
  15. Take note of the filename. Proceed only when you have one file. Otherwise contact our customer care.
  16. Run the following command in Terminal:defaults read ~/Library/LaunchAgents/%filename_obtained_in_step15% ProgramArguments
  17. Take note of the path. If the filename does not start with a “.”, then you might not be infected with this variant.
  18. Delete the files obtained in steps 15 and 17.

In addition to these steps, F-Secure recommends checking for another variant of Flashback, Flashback.K

Via

[/toggle_box]

Soumenkov ha spiegato che Flashback è distribuito su siti web compromessi come un applet Java che viene mascherato da aggiornamento per Adobe Flash Player. “L’applet Java esegue quindi la prima fase di downloader che scarica e poi installa il componente principale del Trojan”, ha scritto. “La componente principale è un Trojan-Downloader che si collega costantemente ad uno dei suoi server di comando e controllo (C & C) e attende nuovi componenti da scaricare ed eseguire.”

Si tratta di un trojan o è un exploit?

All’inizio di questa settimana i ricercatori hanno scoperto una variante di Flashback che sfruttava una vulnerabilità critica di Java per installare un backdoor sui Mac anche se l’utente finale non inseriva la password di amministratore, tipicamente richiesta per apportare modifiche rilevanti al sistema.

Nelle precedenti incarnazioni invece Flashback era mascherato come un aggiornamento Flash che si basava sulla credulità dei suoi utenti per diffondersi.

Un malware che si nasconde in qualche altro pezzo di software è classificato come un trojan, mentre quelli che si basano su una falla di sicurezza in un’applicazione o in un sistema operativo sono conosciuti come exploit.

Apple ha già rilasciato un pacchetto di aggiornamento del componente Java, che risolve il problema: “Java for OS X 2012-002”. Vi consigliamo di eseguire l’aggiornamento dal vostro Mac.


Rimani aggiornato in tempo reale sulle offerte tech grazie al nostro canale Telegram!

Ti invieremo un' email a settimana, puoi cancellare l'iscrizione in qualunque momento.

Potrebbe interessarti anche:


LEAVE A REPLY

Please enter your comment!
Please enter your name here