OSX.Pirrit: è il solito malware, o possiamo chiamarlo VIRUS?

Mac OS X e le sue Applicazioni

Moderatore: ModiMaccanici

cicciopasticcio
Stato: Non connesso
Expert Latitante
Expert Latitante
Iscritto il: gio, 24 set 2009 12:26
Messaggi: 1196
Località: Terre celtiche

Top

Notizia di questi giorni, alcuni sono stati attaccati da questo diabolico pezzo di software. E' successo anche a un utente di questo forum, bendis, che se ne è accorta, ed è stata aiutata a risolvere. Se n’è accorta anche un utente di MacRumors, che con il suo intervento, e con la pubblicazione del codice di bendis, ha richiamato l’attenzione di un vero esperto. Altri non se ne sono nemmeno accorti, e sono in buona compagnia: su altri forum si lamentano di lentezza e problematicità nelle connessioni.

Vorrei aprire questo thread, per raccogliere informazioni e proporre soluzioni. Sì, potrebbe capitare a tutti.

Per prima cosa, diciamo che tutto l’ambaradan relativo a questo malware viene installato dall’utente. Ebbene sì: il veicolo più ricorrente è un pacchetto .pkg di installazione, ad esempio di Office craccato. Qualcuno cracca Office? O un torrent downloader? Bene, sappia che confermando l’installazione con la propria password di amministratore, potrebbe aver aperto le porte dell’inferno…

Come precauzione di base, quando si apre un pacchetto di installazione, prima di procedere, si va in menu’ File > Mostra File (cmd I) e si analizza quali files verranno installati. Voi lo fate? Non costa nulla.
Pero’ il .pkg si puo’ portare appresso altre chicche: script pre e post installazione, e certificati di autenticazione. Visti i tempi (o tempora! o mores!), se scaricate cose dubbie, direi che vale la pena di darci un controllo ulteriore preventivo. Si puo’ usare SuspiciousPackage che va ad analizzare per filo e per segno quel che contiene il .pkg. Così siamo avvisati.

Bon, se ormai vi è entrata la porcheria nel Mac, sappiate che non possiamo nenache dare un nome fisso ai files che crea, perchè il furbo programmino si va a prelevare dal file del dizionario del Mac alcune parole a caso (ma sono tutte nel dizionario, quindi noi possiamo sgamarlo!) e le usa come nome per i suoi files, utenti (sì, crea nuovi utenti fantasma!), script e .plist. Simpatico, no?

Allora, una particolarità è che per installarsi, e farsi accettare da OS X (dopo avervi chiesto la password), usa dei certificati di sviluppatori Apple. Guarda caso, sono tutti sviluppatori israeliani.

E anche chi si è occupato del caso è un israeliano: Amit Serper. Ha da poco pubblicato un’analisi molto dettagliata del malware, e ha postato uno script che risolve. Potete trovarlo qui. ATTENZIONE, aggiornamento: chi ha lanciato quello script si è trovato cancellati molti file "utili" con impossibilità di lanciare alcune applicazioni. Penso che abbia sbagliato qualcosa l'utente, ma fate attenzione.

Ca va sans dire, per un caso del genere gli antivirus sono come una bicicletta per un pesce (capitemi).

Quali i sintomi di questo malware?
1) si verificano un sacco di connessioni, che possono portare alla paralisi i normali collegamenti con internet. L'utente Kitu di MacRumors li ha intercettati perchè aveva LittleSnitch: Connects: 702 successful, 21260 blocked. :shock:
2) dentro la cartella /Libreria/LaunchDaemons compaiono alcuni files, con nomi improbabili ma presenti nel dizionario inglese. Questi vengono evidenziati nell'analisi di EtreCheck.
3) viene creato un utente nascosto con ID=401, che si puo' scovare con Utility Directory oppure con Terminale.

Queste le evidenze riportate daAmit Serper:
Indicators of Compromise (IoCs)
A user with the uid of 401, can be checked by issuing the following command:

Codice: Seleziona tutto

$ dscl . -list /Users UniqueID | grep 401
The /Library/Preferences/com.common.plist file

The /etc/pf_proxy.conf file

The /etc/change_net_settings.sh file

The /Library/<companyname>/ directory

Connections to/from the following domains:
*.93a555685cc7443a8e1034efa1f18924.com
*.trkitok.com
*.aa625d84f1587749c1ab011d6f269f7d64.com
*.2ff328dcee054f2f9a9a5d7e966e3ec0.com
*.aae219721390264a73aa60a5e6ab6ccc4e.com
Search-quick.com
Trovi.com

Hashes (md5):
85846678ad4dbff608f2e51bb0589a16 - installer
70772fccaec011be535d1f41212f755f - proxy
Aggiornamenti quando volete….


Ho notato ora il contributo di T'Pol. Super! Fregato sul tempo. Ma io ormai posto quel che ho scritto...

Ciao a tutti!
Ultima modifica di cicciopasticcio il lun, 06 giu 2016 07:47, modificato 5 volte in totale.
L'altro ieri, Macintosh. Oggi, MacBook Air 13" i7 8/500. Domani, chissà!

Avatar utente
Phate
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: sab, 18 feb 2012 20:27
Messaggi: 6927

Top

Grazie è interessante...
:thumbleft:
 iMac 2,5 Ghz Intel Core i5 quad-core (Late 2011) SSD 256 GB Samsung Serie 830
 Mac Mini M1 2020 SSD 512 GB & 16GB di Ram
Nas DiskStation DS1513+
Apc Smart-Ups 1000Va Lcd 230V

Immagine
canale y o u t u b e
j u z a photo
[/i]

cicciopasticcio
Stato: Non connesso
Expert Latitante
Expert Latitante
Iscritto il: gio, 24 set 2009 12:26
Messaggi: 1196
Località: Terre celtiche

Top

La minaccia si estende.

In questi giorni altri utenti italiani sono stati colpiti da questo malware. In un caso, installando un aggiornamento di Flash "che veniva proposto con insistenza". Comunque autorizzando un'installazione senza preventivamente ispezionare il .pkg.

Quindi, direi che precauzione numero 1 è quella di essere molto diffidenti sulle installazioni di materiale non proveniente da Apple Store.

Poi, se qualcuno vuole investire tempo e conoscenza sull'elaborazione di uno script o qualcos'altro di risolutivo, ben venga. Mi sembra che lo script di Amit Serper puo' essere utile a qualche smanettone, senz'altro non risolve i problemi di un utente di Mac che ha altro da fare nella vita.

Offro due spunti a chi vuole cimentarsi:

1) Il malware è stato scritto in QT per essere multipiattaforma, si trascina dietro moltissime librerie e in realtà il listato è ben commentato, roba da programmatori per programmatori. Quindi si puo' capire abbastanza facilmente il percorso di insediamento e di attacco.

2) La caratteristica specifica di questo malware è di mimetizzarsi con nomi presi a caso dal vocabolario. Ma personalmente la trovo anche la sua debolezza, per quello che è un errorino in ambiente OS X: tutti i nuovi nomi iniziano con lettera minuscola, quindi sono facilmente individuabili ad esempio all'interno della cartella /Library/. Una volta individuato il nome, si può estirpare il set di preferenze-utente-launchDaemons-Library con lo stesso nome.

3) Come avrebbe fatto qualunque buon programmatore, il malware si crea le sue copie di backup :D annidate in /Library/backup.zip (anche qui file con l'iniziale minuscola, si puo' colpire ed affondare!
L'altro ieri, Macintosh. Oggi, MacBook Air 13" i7 8/500. Domani, chissà!

bendis
Stato: Non connesso
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 305

Top

cicciopasticcio ha scritto:tutti i nuovi nomi iniziano con lettera minuscola, quindi sono facilmente individuabili ad esempio all'interno della cartella /Library/.
in realtà 2 degli utenti nascosti nel mio mac avevano un nome con la maiuscola: Buddhology e Zenonian

cicciopasticcio
Stato: Non connesso
Expert Latitante
Expert Latitante
Iscritto il: gio, 24 set 2009 12:26
Messaggi: 1196
Località: Terre celtiche

Top

cicciopasticcio ha scritto:ATTENZIONE, aggiornamento: chi ha lanciato quello script si è trovato cancellati molti file "utili" con impossibilità di lanciare alcune applicazioni. Penso che abbia sbagliato qualcosa l'utente, ma fate attenzione.
Pare sia capitato anche a un utente qui sul forum.

Leggete lo script, e i suoi messaggi di avvertimento, prima di lanciarlo. Evidentemente se il file "com.common.plist net_pref" non esiste, vi rasa mezzo Mac. :D
L'altro ieri, Macintosh. Oggi, MacBook Air 13" i7 8/500. Domani, chissà!

utente eliminato
Stato: Non connesso

Top

installando un aggiornamento di Flash "che veniva proposto con insistenza"
M'ha sempre fatto schifo flash, permettetemi il termine.
Sin dall'epoca di Windows.

Avatar utente
fragrua
Stato: Non connesso
Admin of my life
Admin of my life
Avatar utente
Iscritto il: sab, 08 ott 2005 07:00
Messaggi: 62794
Località: [k]ragnano

Top

Contatta:
xChApPiR ha scritto:
installando un aggiornamento di Flash "che veniva proposto con insistenza"
M'ha sempre fatto schifo flash, permettetemi il termine.
Sin dall'epoca di Windows.
Questo non c'entra niente con il topic. Anche a me Flash potrebbe fare schifo, il problema è che non capisco come sia possibile NON riconoscere il vero Flash dal finto. È come cadere nel phishing, bisogna essere dei veri boccaloni, e quanti sempre di derivazione PC-Win.

Allora la regola è sempre la stessa: NON installare NULLA se non si ha l'assoluta certezza di cosa sia.

All'inizio di Mac OS X ci divertivamo a mandare agli amici uno script con icona di immagine che spostava tutto il contenuto del desktop in una cartella invisibile con il punto avanti. Era un virus? :roll: Eppure faceva paura all'uomo ingenuo. :D

La storia andò avanti fino al 2006. ;)

Immagine
La prima cosa su cui devi investire è il benessere del tuo corpo, l'unica cosa che ti porterai nella tomba.
Franz Grua (sarebbe fragrua)

In un mondo perfetto io sarei un essere inutile.
©2015 albertocchio

—> Uso corretto del Forum: https://goo.gl/9xOO0a

Immagine

vink
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mer, 24 ott 2012 21:00
Messaggi: 49

Top

up.

temo di avere lo stesso problema e non riesco a liberarmene!

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Reinstalla da zero e importa i dati nudi, null'altro.

È troppo complicato disinstallarlo a mano.
Gli script possono fare danni gravi.

Se è cosa da poco tempo di invasione, un vero esperto ce la fa.
Ma è un lavoro lungo e difficoltoso

Avatar utente
macbio
Stato: Non connesso
Pietra Miliare Maccanica
Pietra Miliare Maccanica
Avatar utente
Iscritto il: mar, 19 gen 2010 23:06
Messaggi: 1325

Top

salve a tutti
vedo che la discussione è tra ESPERTI, ma noi che si fa, farei fatica ad effettuare le verifiche se non con istruzioni dettagliate passo per passo e specialmente quando mi si chiede di analizzare il pacchetto dell'app., prima di installarla; da non esperto mi chiedo quali strumenti ho a mia disposizione per riconoscere in un pacchetto di installazione quale e che file, nel caso ci fosse, potrebbe essere malevole.
grazie

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
Non è una cosa semplice, anche se ci sono degli strumenti che è facile usare.
Bisogna solo rispettare delle regole di base.

Se hai pazienza... Sto preparando un piccolo tutorial.
Ho quasi finito di testare il tutto

Avatar utente
macbio
Stato: Non connesso
Pietra Miliare Maccanica
Pietra Miliare Maccanica
Avatar utente
Iscritto il: mar, 19 gen 2010 23:06
Messaggi: 1325

Top

ok :lol:

vink
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mer, 24 ott 2012 21:00
Messaggi: 49

Top

faxus ha scritto:Non è una cosa semplice, anche se ci sono degli strumenti che è facile usare.
Bisogna solo rispettare delle regole di base.

Se hai pazienza... Sto preparando un piccolo tutorial.
Ho quasi finito di testare il tutto
due domande:
- ho letto che può essere pericoloso tentare la rimozione senza formattare. roba che devo buttare via tutto?
- come posso essere sicuro di andare abbastanza indietro con time machine?
- che verifica devo fare per sapere se ho preso pirrit?

thx

Avatar utente
faxus
Stato: Non connesso
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 30459
Località: Circondato dalle bufale

Top

Contatta:
vink ha scritto:...- come posso essere sicuro di andare abbastanza indietro con time machine?...
Qualsiasi scelta è senza fondamento.

Puoi solo verificare a posteriori, se non hai buone conoscenze del tuo sistema.
Il realtà è possibile, bisogna andare a vedere nelle cartelle nascoste dell'utente.
Nei private/var/tmp se ci sono degli Injector e degli installer tipici.
Si fa per esperienza, perché non ci sono nomi ricorrenti, solo tipi.

Quindi dovresti individuarli allo stato attuale.
Poi andare indietro nella Macchina del tempo fino a che non li trovi.

Onestamente è più facile e sicuro reinstallare
vink ha scritto:...- che verifica devo fare per sapere se ho preso pirrit?
Esegui i comandi:

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401
La prima lista deve contenere solo gli amministratori standard di OS X.
La seconda deve essere vuota (salvo che non hai tu volutamente creato degli utenti invisibili)

Se sei incerto, posta la risposta, la vedremo insieme

vink
Stato: Non connesso
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mer, 24 ott 2012 21:00
Messaggi: 49

Top

_assetcache

_webauthserver



secondo comando non da nulla:
iMac-di-Vincenzo:~ Vince$ dscl . -list /Users UniqueID | grep 401
iMac-di-Vincenzo:~ Vince$
Ultima modifica di vink il dom, 14 mag 2017 15:46, modificato 1 volta in totale.

Rispondi

Torna a “Software”

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti