Il trojan Flashback è già presente in 600.000 Mac?

maikol schiavon
5 apr 2012

Una società russa che si occupa di sicurezza,Dr Web, ha affermato che il trojan FlashBack, ha già infettato già 600.000 Mac.
Come avrete notato Apple negli ultimi giorni ha rilasciato un aggiornamento di Java che dovrebbe risolvere il problema.

Questo virus si presentava come finto aggiornamento di Java e si installava senza chiede la password del sistema. Dr Web sostiene inoltre che anche 274 macchine presenti all’interno del Campus di Cupertino siano infette.

Attendendo una notizia che conferma che i dati siano veritieri, e che non sia stata solo una occasione per sponsorizzare i servizi di sicurezza che offre questa azienda , F-Secure ha rilasciato una facile guida per scoprire se il trojan sia un ospite indesiderato nel proprio computer:

  • Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
  • Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
  • Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti
  • Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”
  • Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo e nel quarto punto
  • Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori
  • Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.

Fateci sapere se siete stati infettati!

Articoli molto simili

0 Commenti

  1. Giorgio

    Si io sono stato infettato,… etci !!! Cough cough

    :-)))

    • barba

      capito tutto tranne la cosa più semplice !! quando dice aprite il terminale ……cioè cosaaaa !!!????

  2. ROBIUSA

    Facile guida? Non mi sembra, anzi direi abbastanza complicata. Almeno per me.

  3. Roby@large

    Mah! Io ho fatto un copia e incolla in Terminale del primo punto: “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”, ho premuto INVIO e mi è comparso: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”.
    Non capisco il secondo punto: “Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio”

    Ciao

    • Marco

      Ciao Roby@large,

      vuole dire che non sei infetto :-)

  4. Raffaele

    Non infetto :D

Lascia la tua opinione