SecureMac ha individuato un nuovo Trojan per Mac (aggiornato)
SecureMac, società che realizza software di sicurezza per Mac, segnala di aver individuato un nuovo Trojan (Cavallo di Troia) dal terribile nome, Boonana, che potrebbe causare problemi a chiunque abbia un Mac.
Il cavallo di Troia, il cui nome preciso è trojan.osx.boonana.a, si diffonde ”travestito” da video attraverso popolari siti di social network come Facebook.
Il cavallo di Troia appare come un link nei messaggi sui siti di social network con il soggetto “Is this you in this video?” (sei tu in questo video?). Quando si clicca il link, “il Trojan viene eseguito inizialmente come un applet Java, che scarica altri file nel computer, tra cui un programma di installazione che si avvia automaticamente”, sostiene SecureMac.
“Quando viene eseguito, il programma di installazione modifica i file di sistema per bypassare la necessità di una password, consentendo l’accesso dal di fuori a tutti i file presenti nel sistema. Inoltre, il Trojan si avvia in modo invisibile in background all’avvio, e verifica periodicamente un server. Quando Boonana è in esecuzione, cerca di replicarsi inviando messaggi spam via e-mail” si legge nel comunicato si SecureMac.
SecureMac ha rilasciato uno strumento gratuito di rimozione, che promette di eliminare la minaccia.
In alternativa, è possibile difendersi disabilitando Java sul proprio browser Web. Chi usa Safari, in Preferenze/Sicurezza deve togliere il segno di spunta alla voce Java.
E’ bene ricordare che Apple è sempre intervenuta con degli aggiornamenti di sicurezza che hanno reso inefficaci alcuni Trojan individuati nel passato. In più, Snow Leopard include una funzione antivirus (o se preferite “antimalware”, dal momento che virus veri e propri per Mac non esistono), che avvisa se un file scaricato da internet tramite Safari, via iChat o contenuto in una e-mail può creare danni al sistema.
A giugno scorso, Apple ha aggiornato la funzione antivirus di Snow Leopard con il rilascio di OS 10.6.4. Il file di sistema XProtect.plist, che include l’elenco dei malware per Mac, oltre alle definizioni del trojan OSX.RSPlug.A (scoperto per la prima volta ad ottobre 2007) e OSX.Iservice (gennaio 2009), comprende anche OSX/Pinhead-B Trojan (chiamato HellRTS da Apple) scoperto ad aprile di quest’anno.
Aspettando che Apple intervenga, chi lo desidera può scaricare l’ottimo antivirus gratuito ClamXav 
(in dotazione con Mac OS X Server), il cui punto di forza è la frequenza con cui vengono aggiornate le definizioni dei malware per Mac e Windows.
Aggiornamento delle ore 20:13: a quanto pare il Trojan Boonana individuato da SecureMac è una variante del woorm Koobface, che da diverso tempo era tenuto sotto controllo da Intego. Mentre però SecureMac classifica con rischio “critico” Boonana, per Intego la pericolosità invece è bassa. Questo perchè l’utente viene avvisato dal sistema di sicurezza standard di Mac OS X Java (che trovate descritto in quest’altro articolo). Non è chiaro perchè SecureMac ho omesso questo “particolare”, che mi ha indotto a pensare, visto anche i nomi differenti, che si trattassero di due diversi Trojan per Mac con un differente livello di pericolosità.
6 commenti
La risposta è in questa frase:
“SecureMac ha rilasciato uno strumento gratuito di rimozione, che promette di eliminare la minaccia.”
Pubblicità! Niente di più.
Però mi chiedo: sto troiano si installa senza chiedermi la password di amministratore?
Mi sembra strano.
In realtà, quando si clicca sul Trojan ”travestito” da link, il Trojan tenta di caricare un applet Java, ma l’utente viene avvisato dal sistema di sicurezza standard di Mac OS X Java (appare una finestra di dialogo). Scegliendo l’opzione “Nega”, il Trojan non riesce ad eseguire l’applet e non si corre alcun rischio di infezione.
Facendo click su Consenti si viene “infettati” anche senza inserire la password amministratore.
Per ulteriori info su come funziona il sistema di sicurezza standard di Mac OS X Java click qui.
Quindi la pericolosità di questo Trojan è veramente bassa, o sbaglio?
@ Spectrum: non è bassa, è quasi nulla, perchè anche se per sbaglio si dovesse premere il pulsante “Consenti” della finestra di dialogo di sicurezza di Mac OS X Java, il Trojan molto probabilmente non riuscirebbe a scaricare i software malicius dai server pirata perchè la maggior parte di questi sono inattivi, secondo Intego.
Guardate che SecureMac non è per niente gratuito. E’ gratuita, ci mancherebbe altro, la versione trial. La versione vera si paga e nemmeno poco. Per cui tanto disinteressato l’allarme non dovrebbe essere
@ Mara: in realtà, dal sito di SecureMac oltre a MacScan che funziona senza limitazioni per 30 giorni, si può scaricare gratuitamente anche Boonana Trojan Horse, una utility realizzata appositamente per rimuovere il trojan in questione.
In ogni caso, anch’io condivido la tua opinione che tutto questo è stato fatto per un interesse ben preciso: farsi pubblicità con un preteso.