Storia di Trojan

[TheMacGuru]

Sono sempre stato molto scettico sui Virus/Trojan e sugli Antivirus su OSX, in questi anni ho visto solo un paio di Virus e non distruttivi, ma questa volta mi hanno beccato questi "Figli di Trojan".

Mi serviva un software per fare dei test per conto di un cliente e poiché la demo non era disponibile alla fine ho scaricato da un Torrent, installato, testato e cancellato. Ma durante l'installazione l'installer ha installato sul Mac un Trojan.
Fortunatamente uso Little Snitch (non amo i programmi che chiamano casa a mia insaputa), il quale, malgrado sia nato per altri scopi, e' un GRANDE ANTIVIRUS.
Ogni 5 minuti un programma nascosto cercava di chiamare Internet, ovviamente gli negavo l'accesso, dopo la 4 in 20 minuti richiesta mi sono incuriosito ed ho iniziato un'indagine su Internet.
Ho scoperto che il programmino, di pochi Kb, chiamava casa per scaricare un installer, che a sua volta installa il vero Trojan all'interno di Safari. Una volta installato quando si apre Safari il Virus s'installa definitivamente nel sistema.
La solita variante di FlashBack viewtopic.php?f=2&t=17966" onclick="window.open(this.href);return false; ma i Figli di Trojan stanno affilando le armi e le astuzie.
Ho rimosso il programmino, riavviato, pulito le cache e la storia è finita bene.

In conclusione state attenti a cosa scaricare (se proprio dove farlo, come nel mio caso, usate un utente Temporaneo), a cosa installate ed imparate ad usare LittleSnitch, semplice regole (che non ho rispettato in parte) che vi eviteranno tante noie.

[Kernel Panic]

A quanto pare Little Snitch serve a qualcosa ... meglio così.

La storia è comunque interessante perchè conferma ancora una volta la regola fondamentale: comportarsi correttamente e con buon senso è già di per sè un'ottima strategia per prevenire questi "brutti incontri".

Per curiosità come hai fatto ad individuare il trojan?

Per "utente Temporaneo" intendi l'Account ospite?

[TheMacGuru]

LittleSnitch ti avvisa quale programma e cosa sta facendo.
Dopodiché con EasyFind ho trovato il programmino, il cui nome era preceduto da un punto onde essere invisibile all'occhio nudo, e lo ho cancellato da terminale.
Solitamente creo un utente che chiamo Temp per eventuali test ed al termine lo rimuovo, cosi non "sporco" il mio utente abituale.

[Kernel Panic]

Solitamente creo un utente che chiamo Temp per eventuali test ed al termine lo rimuovo, cosi non "sporco" il mio utente abituale.

Scusa se insisto ma in casi come questi non è un dettaglio da poco: l'utente Temp che crei è utente Amministratore o Standard?

[TheMacGuru]

Solitamente Standard, se poi proprio serve inserisco i dati di utente Amministratore per eventuali installazioni, ma almeno la struttura utente, che uso abitualmente, rimane pulita.
Nel caso del Trojan la prima parte veniva installata dentro la Casetta/Home dell'utente, percui inizialmente infettava l'utente e non il sistema. Poi solo se questa andava a buon fine infettava i programmi che in tal caso sono in comune.

[Scialla]

LittleSnitch ti avvisa quale programma e cosa sta facendo.
Dopodiché con EasyFind ho trovato il programmino, il cui nome era preceduto da un punto onde essere invisibile all'occhio nudo, e lo ho cancellato da terminale.
Solitamente creo un utente che chiamo Temp per eventuali test ed al termine lo rimuovo, cosi non "sporco" il mio utente abituale.

Puoi dirci il nome del programmino???

[mauropasha]

Puoi dirci il nome del programmino???

...e se è quel trojan di cui si parla in alcuni siti specializzati, soprattutto Made in USA recentemente?

[iStefano]

@Mod : unite ?? viewtopic.php?f=2&t=17966

[TheMacGuru]

.rserv
Sempre molto attento mauropasha

[TheMacGuru]

In questa discussione il problema e' abbastanza approfondito:
https://discussions.apple.com/thread/38 ... 5&tstart=0" onclick="window.open(this.href);return false;

Nel post in particolare di paddlesource 3-apr-2012 10.05 (in response to lytic)
ho riscontrato la stessa casualità.

Mentre scaricavo il torrent ho fatto accesso in contemporanea al sito di dlink.com, pertanto ho dato la colpa al torrent, ma potrebbe avere sicuramente ragione paddlesource.
In tal cosa la cosa è ancora più subdola in quanto si tratta di un buco di java e del sito di dlink.com

[TheMacGuru]

Sembra che diversi siti siano stati infettati:
Dlink.com Website Compromised SQL Injection Bot 3/13/12 in questo caso dal 13-3-12, ma non hanno ancora provveduto !!!!!!

Fonte:
http://www.paulscomputerservice.com/blog/blog.php?ID=12" onclick="window.open(this.href);return false;

[TheMacGuru]

Ed ecco l'ultimo pezzo del puzzle di Trojan:

in /Utenti/nomeutente/LIbrary/LaunchAgents

il file com.adobe.reader.plist avvia ogni tot minuti .rserv

bisogna eliminare anche questo file.

[onelioo]

Sono molto d'accordo sull'impiego di LittleSnitch.

Gli effetti del trojan quali sono? Dopo essersi piazzato nel sistema, che fa?

[TheMacGuru]

Non ne ho idea lo ho fermato prima che si installasse.

[mauropasha]

.rserv
Sempre molto attento mauropasha

Grazie, leggo sempre i feeds di una decina di siti americani, ma confidando nella efficacia del sistema e pensando si trattasse della solita esagerazione, non ho approfondito.
Il tuo è stato un c.d evento sentinella, che ci dovrebbe far aprire gli occhi, ancora di più di quanto già facciamo.