Come rimuovere il virus Flashback che ha infettato circa 600.000 Mac

Oramai i tempi in cui si poteva dire che il Mac era sicuro(anche senza antivirus) sembra ormai lontano. Dopo molti virus abbastanza innoqui il Worm chiamato Flashback  è stato capace di infettare moltissimi MAC. Secondo l’azienda russa Dr.Web, questo Word, avrabbe colpito più di 600.000 Mac, compresi 274 computer della sede di Apple a Cupertino.

Come si prende?

Flashback si insinua nel sistema utilizzando una vulnerabilità Java dei browser internet Safari. All’inizio il “worm” arrivava nei computer camuffato da estensione per Flash, ma ha presto trovato altre strade e metodi più aggressivi di contagio dopo essere stato intercettato e messo in quarantena. E la recrudescenza ha fatto più danni dell’attacco originario.

Il browser “nativo” dei Mac sta subendo diversi attacchi negli ultimi periodi e ha mostrato diverse debolezze negli ultimi tempi (vedi ad esempio Google che sfruttava una vulnerabilità di Safari per monitorare gli utenti Apple)

 

Come Rimuoverlo?

Di seguito riportiamo la procedura pubblicata da F-Secure, una nota azienda sviluppatrice di AntiVirus.

 

PRE-REQUISITO

La prima cosa da fare, prima di seguire gli altri passaggi, è quella di aggiornare il sistema per tappare la falla Java.

Potete installare la patch cliccando Mela –>Aggiornamento Software o scaricarla dal sito Apple.

Ecco la procedura:

1 – Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”

2 – Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio

3 – Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti.

4 – Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”

5 – Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellandopoi i file trovati nel secondo punto e nel quarto.

6 – Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori.

7 – Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.

Eccovi la guida completa (in inglese) — LINK




Reply