Intego: nuovo malware mascherato da programma di installazione di Flash
Intego ha fatto sapere di aver individuato un nuovo cavallo di Troia mascherato da installer di Flash Player per OS X Lion.
Il malware, chiamato Flashback, si trova su alcuni siti che offrono un link o una icona per installare Flash agli utenti di Lion, che come saprete non include il plug-in di Adobe. Cliccando sul link “malicius” con Safari, viene avviato il processo di installazione, il malware disattiva gli eventuali software di sicurezza come Little Snitch e Intego VirusBarrier X6, quindi elimina il pacchetto d’installazione originale dopo aver portato a termine l’installazione. Secondo quanto riferito da Intego, Flashback invia informazioni relative al Mac infetto a un server remoto, ma non è ancora chiaro a che scopo.
Proteggere il Mac da Flashback è relativamente facile: è sufficiente scaricare Flash solo da sito di Adobe.
Flashback è il secondo cavallo di Troia per Mac individuato in poco meno di tre giorni. Venerdì, F-Secure ha fatto sapere di aver individuato il Trojan-Dropper: OSX /Revir.A, “camuffato” da file PDF in lingua cinese, che una volta aperto, crea una backdoor e una connessione a un server remoto.
Anche in questo caso valgono le raccomandazioni di sempre: non scaricare software da siti poco affidabili e deselezionare l’opzione di Safari “Apri doc.’sicuri’ dopo il download” (Preferenze/Generale).
Accertatevi anche che le definizioni della funzione anti-malware di Snow Leopard e Lion siano aggiornate.
Come segnalato dal lettore Curiosone, Apple ha già aggiunto al file XProtect.plist del sistema operativo che include le definizioni dei malware, il Trojan-Dropper: OSX /Revir.A, e con tutta probabilità, nel giro di qualche ora anche Flashback verrà “neutralizzato”.
14 commenti
Ieri mi ha chiesto un aggiornamento del lettore Flash. Adesso mi trovo nella mia cartella download un sospettissimo file “decryptedFile.dmg”. Come faccio a capire se mi sono preso il malware oppure era un semplice aggiornamento di FlashPlayer?
Si tratta dell’aggiornamento automatico di Flash (Preferenze di Sistema/Flash Player/Avanzate).
Il Trojan è invece un file che bisogna scaricare manualmente cliccando su un link che si trova su un sito che non è quello di Adobe.
Grazie mille Stefano! 🙂
Stefano
ho aggiornato flash player, mi pare fosse ieri e secondo me era il trojan. Dici che se ripristino la cartella preferences di tre giorni fa con Time Machine si risolve tutto?
@ rogerdodger: per “imbatterti” nel Trojan (io nonostante numerose ricerche ancora non l’ho trovato) lo devi scaricare da un sito Web non Adobe. Se ti è apparsa la finestra di aggiornamento di Flash, è normale, è quella di Adobe 😉
Stefano, lanciando il comando nel terminale per verificare la data dell’ultima modifica dell’aggiornamento delle definizioni, la “data di ultima modifica” è questa
Fri, 23 Sep 2011 18:03:15 GMT
È normale?
@ nirna: si, al momento il 23 settembre 2011 è la data dell’ultimo aggiornamento delle definizioni dei malware.
Grazie Stefano.
stefano
Ok, comunque per sicurezza ho rimesso la cartella preferences di tre giorni fa, che tanto non ho fatto molto al Mac in questi giorni 😉 Grazie per la risposta.
Ho aggiornato Firefox ( anche se uso Safari ) e al suo ravvio mi consigliava di aggiornare Flash. Nel dubbio non ho aggiornato. Eventualmente come posso aggiornarlo senza il timore di incappare nel Trojan? Grazie
@ Tonino: dal pannello Flash delle Preferenze di Sistema.
@ Stefano
Nelle Preferenza di sistema non c’è traccia di Flash Player. Allora vuol dire che non ce l’ho installato. È importante avercelo se si usa Firefox? Facendo una ricerca con Spotlight ho trovato solo questo: Flash Player.plugin e flashplayer.xpt ( si trovano in Library/internet Plug-in ). Grazie ancora
@ Stefano
Buonasera Stefano,
oggi mi è successa la stessa cosa che descrive iPocio il 27 settembre 2011: dopo un aggiornamento automatico di Flash (quelli che compaiono quando accendi il computer per intendersi, la finestrella della Adobe con la barra di avanzamento azzurra che scarica l’aggiornamento e poi lo installa; ho letto bene cosa dicevi agli altri utenti riguardo il fatto di scaricare aggiornamenti da altri siti non-adobe ma io non l’ho fatto) e ora trovo nella finestra Utility Disco uno strano “decryptedFile.dmg”; in rete alcuni lo definiscono come Flashback altri (come te) no; ho trovato in rete anche una “guida alla rimozione di Flashback” apparsa su Repubblica.it il 5 aprile 2012 e l’ho eseguita senza riscontrare infezioni (ti allego il link così che tu possa capire di cosa parlo).. Tutto questo per dire: questo .dmg va eliminato? se si, come? in definitiva cos’è?
Non so se può servire, il mio mac è un mac book pro 13,3″ comprato ad ottobre scorso..
Aspetto una tua risposta e ti ringrazio anticipatamente.
Buona serata,
Pierangelo.
@ Stefano
Scusa ma ho scordato di allegare il link:http://www.repubblica.it/tecnologia/2012/04/05/news/un_worm_infetta_600mila_mac_ecco_come_rimuovere_il_virus-32811422/
Spero tu possa dare qualche delucidazione, grazie!!
Pierangelo