Individuato un nuovo Trojan per Mac “camuffato” da PDF

I cavalli di Troia (Trojan) per Mac non sono diffusi come nel tormentato mondo Windows, ma di tanto in tanto appaiono. All’inizio di quest’anno c’è stato Mac Defender, ora, una società specializzata in sicurezza informatica, F-Secure, ha annunciato di aver scoperto un altro cavallo di Troia.

Se scaricato, il Trojan-Dropper:OSX/Revir.A appare come un file PDF in lingua cinese composto da alcune pagine contenenti opinioni politiche. In realtà, se si apre il PDF, il Trojan installa Backdoor:OSX/Imuler.A, che come si può intuire dal nome, apre una connessione backdoor a un server remoto.

Per ora, questo è tutto quello che fa il cavallo di Troia: il server che si collega a una installazione Apache che non è in grado di compromettere la sicurezza del vostro Mac. Inoltre, dal momento che il Trojan è stato scoperto attraverso la scansione del servizio VirusTotal, piuttosto che dalle segnalazioni degli utenti, i ricercatori di F-Secure non sono nemmeno sicuri di come il cavallo di Troia si propaga, anche se sul loro blog ipotizzano che come allegato di posta elettronica sia il sistema più probabile.

Come per gli altri malware per Mac, valgono le raccomandazioni di sempre: non cliccare su link o effettuare il download di allegati contenuti in messaggi e-mail provenienti da persone che non si conoscono, e deselezionare l’opzione di Safari “Apri doc.’sicuri’ dopo il download” (Preferenze/Generale).

Accertatevi anche che le definizioni della funzione anti-malware di Snow Leopard e Lion siano aggiornate.

Se accidentalmente cadete preda di questo particolare cavallo di Troia, F-Secure ha pubblicato le istruzioni per la rimozione della backdoor. Per farlo, bisogna aprire Monitoraggio Attività (applicazioni/Utility); selezionare checkvir e fare click su “Esci dal processo”, quindi eliminare i seguenti file:

/utenti/nomeutente/Libreria/LaunchAgents/checkvir

/Utenti/nomeutente/Libreria/LaunchAgents/checkvir.plist