Vorrei aprire questo thread, per raccogliere informazioni e proporre soluzioni. Sì, potrebbe capitare a tutti.
Per prima cosa, diciamo che tutto l’ambaradan relativo a questo malware viene installato dall’utente. Ebbene sì: il veicolo più ricorrente è un pacchetto .pkg di installazione, ad esempio di Office craccato. Qualcuno cracca Office? O un torrent downloader? Bene, sappia che confermando l’installazione con la propria password di amministratore, potrebbe aver aperto le porte dell’inferno…
Come precauzione di base, quando si apre un pacchetto di installazione, prima di procedere, si va in menu’ File > Mostra File (cmd I) e si analizza quali files verranno installati. Voi lo fate? Non costa nulla.
Pero’ il .pkg si puo’ portare appresso altre chicche: script pre e post installazione, e certificati di autenticazione. Visti i tempi (o tempora! o mores!), se scaricate cose dubbie, direi che vale la pena di darci un controllo ulteriore preventivo. Si puo’ usare SuspiciousPackage che va ad analizzare per filo e per segno quel che contiene il .pkg. Così siamo avvisati.
Bon, se ormai vi è entrata la porcheria nel Mac, sappiate che non possiamo nenache dare un nome fisso ai files che crea, perchè il furbo programmino si va a prelevare dal file del dizionario del Mac alcune parole a caso (ma sono tutte nel dizionario, quindi noi possiamo sgamarlo!) e le usa come nome per i suoi files, utenti (sì, crea nuovi utenti fantasma!), script e .plist. Simpatico, no?
Allora, una particolarità è che per installarsi, e farsi accettare da OS X (dopo avervi chiesto la password), usa dei certificati di sviluppatori Apple. Guarda caso, sono tutti sviluppatori israeliani.
E anche chi si è occupato del caso è un israeliano: Amit Serper. Ha da poco pubblicato un’analisi molto dettagliata del malware, e ha postato uno script che risolve. Potete trovarlo qui. ATTENZIONE, aggiornamento: chi ha lanciato quello script si è trovato cancellati molti file "utili" con impossibilità di lanciare alcune applicazioni. Penso che abbia sbagliato qualcosa l'utente, ma fate attenzione.
Ca va sans dire, per un caso del genere gli antivirus sono come una bicicletta per un pesce (capitemi).
Quali i sintomi di questo malware?
1) si verificano un sacco di connessioni, che possono portare alla paralisi i normali collegamenti con internet. L'utente Kitu di MacRumors li ha intercettati perchè aveva LittleSnitch: Connects: 702 successful, 21260 blocked.
2) dentro la cartella /Libreria/LaunchDaemons compaiono alcuni files, con nomi improbabili ma presenti nel dizionario inglese. Questi vengono evidenziati nell'analisi di EtreCheck.
3) viene creato un utente nascosto con ID=401, che si puo' scovare con Utility Directory oppure con Terminale.
Queste le evidenze riportate daAmit Serper:
Aggiornamenti quando volete….Indicators of Compromise (IoCs)
A user with the uid of 401, can be checked by issuing the following command:The /Library/Preferences/com.common.plist fileCodice: Seleziona tutto
$ dscl . -list /Users UniqueID | grep 401
The /etc/pf_proxy.conf file
The /etc/change_net_settings.sh file
The /Library/<companyname>/ directory
Connections to/from the following domains:
*.93a555685cc7443a8e1034efa1f18924.com
*.trkitok.com
*.aa625d84f1587749c1ab011d6f269f7d64.com
*.2ff328dcee054f2f9a9a5d7e966e3ec0.com
*.aae219721390264a73aa60a5e6ab6ccc4e.com
Search-quick.com
Trovi.com
Hashes (md5):
85846678ad4dbff608f2e51bb0589a16 - installer
70772fccaec011be535d1f41212f755f - proxy
Ho notato ora il contributo di T'Pol. Super! Fregato sul tempo. Ma io ormai posto quel che ho scritto...
Ciao a tutti!