Un worm infetta 600mila Mac Ecco come rimuovere Flashback

[fra]

da Repubblica di stamattina...

http://www.repubblica.it/tecnologia/201 ... -32811422/" onclick="window.open(this.href);return false;

[bruncik]

Provato, è tutto ok. Grazie per la segnalazione!

[Andrea@Mac]

http://www.f-secure.com/v-descs/trojan- ... ck_i.shtml" onclick="window.open(this.href);return false;

simpatica l'installazione

Installation

On execution, the malware checks if the following path exists in the system:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

If any of these are found, the malware will skip the rest of its routine and proceed to delete itself.

[Andrea@Mac]

altra versione del Malware (Trojan-Downloader)
http://www.f-secure.com/v-descs/trojan- ... ck_k.shtml" onclick="window.open(this.href);return false;

ultime uscite

http://www.f-secure.com/en/web/labs_glo ... scriptions" onclick="window.open(this.href);return false;

che bravi sono questi di f-secure.com !
conoscono davvero bene OS X

[bonnypadrino]

io non sono infetto..

[Kernel Panic]

Ma non ne avevamo già discusso qui? viewtopic.php?f=9&t=17968" onclick="window.open(this.href);return false;

O si tratta di un diverso malware?

[mauripucci]

Ma non ne avevamo già discusso qui? viewtopic.php?f=9&t=17968" onclick="window.open(this.href);return false; O si tratta di un diverso malware?

in effetti la questione era già stata segnalata:

da TheMacGuru, Storia di Trojan, Inviato: mar, 03 apr 2012 17:29

e anche l'articolo in questione già citato ieri:
secondo il sito russo esperto di antivirus "dr Web" (ripreso quasi interamente da un articolo del sito web de La Repubblica) in Italia vi sarebbero circa 2000 Mac infettati dal cavallo di troia FlashBack, 600 mila nel mondo:
http://news.drweb.com/show/?i=2341&lng=en" onclick="window.open(this.href);return false;
http://www.repubblica.it/tecnologia/201 ... ef=HRERO-1" onclick="window.open(this.href);return false;
entrambi i siti segnalano la soluzione (già postata sopra):
ecco la guida alla rimozione del malware come redatta da F-Secure.
1 - Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
2 - Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
3 - Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti.
4 - Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”
5 - Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo punto e nel quarto.
6 - Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori.
7 - Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.

ma ripetita iuvant..

[Andrea@Mac]

Ma non ne avevamo già discusso qui? viewtopic.php?f=9&t=17968" onclick="window.open(this.href);return false;

O si tratta di un diverso malware?

in realtà si tratta di una "variante" del malware
infatti Apple ha appena, di nuovo, aggiornato la java machine, per problemi alla sicurezza

[Kernel Panic]

... infatti Apple ha appena, di nuovo, aggiornato la java machine, per problemi alla sicurezza

Dici? A me - 10.6.8 - non risulta ...

[Andrea@Mac]

... infatti Apple ha appena, di nuovo, aggiornato la java machine, per problemi alla sicurezza

Dici? A me - 10.6.8 - non risulta ...

scusate
intendevo l'ultimo aggiornamento del 3 aprile
http://support.apple.com/kb/DL1516" onclick="window.open(this.href);return false;

non ero andato a rileggere il post
mi pare quindi che hai scritto bene tu
TheMacGuru si riferiva già ad una variante del worm
ed è uscito l'aggiornamento del link sopra
anche per safari guarda caso

[Andrea@Mac]

Macworld dedica ampio spazio sulla questione
spiegata molto bene
(in inglese purtroppo)

http://www.macworld.com/article/1166254 ... rojan.html" onclick="window.open(this.href);return false;

[Andrea@Mac]

ecco perché dicevo "secondo aggiornamento"

http://punto-informatico.it/3496556/PI/ ... a-mac.aspx" onclick="window.open(this.href);return false;

[Kernel Panic]

ecco perché dicevo "secondo aggiornamento" ...

Solo per Lion, mi sembra ...

[robertos]

ma ripetita iuvant..

ahi, ahi! professore... hai fatto bene, è proprio da segnare in BLU!

[Andrea@Mac]

ecco perché dicevo "secondo aggiornamento" ...

Solo per Lion, mi sembra ...

sì così pare...