OSX.Pirrit: è il solito malware, o possiamo chiamarlo VIRUS?

Mac OS X e le sue Applicazioni

Moderatore: ModiMaccanici

cicciopasticcio
Expert
Expert
Iscritto il: gio, 24 set 2009 12:26
Messaggi: 1196
Località: Terre celtiche
Oggetto del messaggio: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VIRUS?

Messaggio Inviato: dom, 05 giu 2016 19:38

Notizia di questi giorni, alcuni sono stati attaccati da questo diabolico pezzo di software. E' successo anche a un utente di questo forum, bendis, che se ne è accorta, ed è stata aiutata a risolvere. Se n’è accorta anche un utente di MacRumors, che con il suo intervento, e con la pubblicazione del codice di bendis, ha richiamato l’attenzione di un vero esperto. Altri non se ne sono nemmeno accorti, e sono in buona compagnia: su altri forum si lamentano di lentezza e problematicità nelle connessioni.

Vorrei aprire questo thread, per raccogliere informazioni e proporre soluzioni. Sì, potrebbe capitare a tutti.

Per prima cosa, diciamo che tutto l’ambaradan relativo a questo malware viene installato dall’utente. Ebbene sì: il veicolo più ricorrente è un pacchetto .pkg di installazione, ad esempio di Office craccato. Qualcuno cracca Office? O un torrent downloader? Bene, sappia che confermando l’installazione con la propria password di amministratore, potrebbe aver aperto le porte dell’inferno…

Come precauzione di base, quando si apre un pacchetto di installazione, prima di procedere, si va in menu’ File > Mostra File (cmd I) e si analizza quali files verranno installati. Voi lo fate? Non costa nulla.
Pero’ il .pkg si puo’ portare appresso altre chicche: script pre e post installazione, e certificati di autenticazione. Visti i tempi (o tempora! o mores!), se scaricate cose dubbie, direi che vale la pena di darci un controllo ulteriore preventivo. Si puo’ usare SuspiciousPackage che va ad analizzare per filo e per segno quel che contiene il .pkg. Così siamo avvisati.

Bon, se ormai vi è entrata la porcheria nel Mac, sappiate che non possiamo nenache dare un nome fisso ai files che crea, perchè il furbo programmino si va a prelevare dal file del dizionario del Mac alcune parole a caso (ma sono tutte nel dizionario, quindi noi possiamo sgamarlo!) e le usa come nome per i suoi files, utenti (sì, crea nuovi utenti fantasma!), script e .plist. Simpatico, no?

Allora, una particolarità è che per installarsi, e farsi accettare da OS X (dopo avervi chiesto la password), usa dei certificati di sviluppatori Apple. Guarda caso, sono tutti sviluppatori israeliani.

E anche chi si è occupato del caso è un israeliano: Amit Serper. Ha da poco pubblicato un’analisi molto dettagliata del malware, e ha postato uno script che risolve. Potete trovarlo qui. ATTENZIONE, aggiornamento: chi ha lanciato quello script si è trovato cancellati molti file "utili" con impossibilità di lanciare alcune applicazioni. Penso che abbia sbagliato qualcosa l'utente, ma fate attenzione.

Ca va sans dire, per un caso del genere gli antivirus sono come una bicicletta per un pesce (capitemi).

Quali i sintomi di questo malware?
1) si verificano un sacco di connessioni, che possono portare alla paralisi i normali collegamenti con internet. L'utente Kitu di MacRumors li ha intercettati perchè aveva LittleSnitch: Connects: 702 successful, 21260 blocked. :shock:
2) dentro la cartella /Libreria/LaunchDaemons compaiono alcuni files, con nomi improbabili ma presenti nel dizionario inglese. Questi vengono evidenziati nell'analisi di EtreCheck.
3) viene creato un utente nascosto con ID=401, che si puo' scovare con Utility Directory oppure con Terminale.

Queste le evidenze riportate daAmit Serper:
Indicators of Compromise (IoCs)
A user with the uid of 401, can be checked by issuing the following command:

Codice: Seleziona tutto

$ dscl . -list /Users UniqueID | grep 401
The /Library/Preferences/com.common.plist file

The /etc/pf_proxy.conf file

The /etc/change_net_settings.sh file

The /Library/<companyname>/ directory

Connections to/from the following domains:
*.93a555685cc7443a8e1034efa1f18924.com
*.trkitok.com
*.aa625d84f1587749c1ab011d6f269f7d64.com
*.2ff328dcee054f2f9a9a5d7e966e3ec0.com
*.aae219721390264a73aa60a5e6ab6ccc4e.com
Search-quick.com
Trovi.com

Hashes (md5):
85846678ad4dbff608f2e51bb0589a16 - installer
70772fccaec011be535d1f41212f755f - proxy
Aggiornamenti quando volete….


Ho notato ora il contributo di T'Pol. Super! Fregato sul tempo. Ma io ormai posto quel che ho scritto...

Ciao a tutti!
Ultima modifica di cicciopasticcio il lun, 06 giu 2016 07:47, modificato 5 volte in totale.
L'altro ieri, Macintosh. Oggi, MacBook Air 13" i7 8/500. Domani, chissà!
Phate
Expert
Expert
Avatar utente
Iscritto il: sab, 18 feb 2012 20:27
Messaggi: 6920
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: dom, 05 giu 2016 19:42

Grazie è interessante...
:thumbleft:
 iMac 2,5 Ghz Intel Core i5 quad-core (Late 2011) SSD 256 GB Samsung Serie 830
 iPad 2 64 GB
 iPad Mini 32 GB

 Apple TV 3°
Nas DiskStation DS1513+
Apc Smart-Ups 1000Va Lcd 230V
macOS Sierra
Immagine
canale y o u t u b e
j u z a photo
cicciopasticcio
Expert
Expert
Iscritto il: gio, 24 set 2009 12:26
Messaggi: 1196
Località: Terre celtiche
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: ven, 10 giu 2016 10:08

La minaccia si estende.

In questi giorni altri utenti italiani sono stati colpiti da questo malware. In un caso, installando un aggiornamento di Flash "che veniva proposto con insistenza". Comunque autorizzando un'installazione senza preventivamente ispezionare il .pkg.

Quindi, direi che precauzione numero 1 è quella di essere molto diffidenti sulle installazioni di materiale non proveniente da Apple Store.

Poi, se qualcuno vuole investire tempo e conoscenza sull'elaborazione di uno script o qualcos'altro di risolutivo, ben venga. Mi sembra che lo script di Amit Serper puo' essere utile a qualche smanettone, senz'altro non risolve i problemi di un utente di Mac che ha altro da fare nella vita.

Offro due spunti a chi vuole cimentarsi:

1) Il malware è stato scritto in QT per essere multipiattaforma, si trascina dietro moltissime librerie e in realtà il listato è ben commentato, roba da programmatori per programmatori. Quindi si puo' capire abbastanza facilmente il percorso di insediamento e di attacco.

2) La caratteristica specifica di questo malware è di mimetizzarsi con nomi presi a caso dal vocabolario. Ma personalmente la trovo anche la sua debolezza, per quello che è un errorino in ambiente OS X: tutti i nuovi nomi iniziano con lettera minuscola, quindi sono facilmente individuabili ad esempio all'interno della cartella /Library/. Una volta individuato il nome, si può estirpare il set di preferenze-utente-launchDaemons-Library con lo stesso nome.

3) Come avrebbe fatto qualunque buon programmatore, il malware si crea le sue copie di backup :D annidate in /Library/backup.zip (anche qui file con l'iniziale minuscola, si puo' colpire ed affondare!
L'altro ieri, Macintosh. Oggi, MacBook Air 13" i7 8/500. Domani, chissà!
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: sab, 18 giu 2016 11:43

cicciopasticcio ha scritto:tutti i nuovi nomi iniziano con lettera minuscola, quindi sono facilmente individuabili ad esempio all'interno della cartella /Library/.
in realtà 2 degli utenti nascosti nel mio mac avevano un nome con la maiuscola: Buddhology e Zenonian
cicciopasticcio
Expert
Expert
Iscritto il: gio, 24 set 2009 12:26
Messaggi: 1196
Località: Terre celtiche
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: sab, 18 giu 2016 21:40

cicciopasticcio ha scritto:ATTENZIONE, aggiornamento: chi ha lanciato quello script si è trovato cancellati molti file "utili" con impossibilità di lanciare alcune applicazioni. Penso che abbia sbagliato qualcosa l'utente, ma fate attenzione.
Pare sia capitato anche a un utente qui sul forum.

Leggete lo script, e i suoi messaggi di avvertimento, prima di lanciarlo. Evidentemente se il file "com.common.plist net_pref" non esiste, vi rasa mezzo Mac. :D
L'altro ieri, Macintosh. Oggi, MacBook Air 13" i7 8/500. Domani, chissà!
Chappy
Maccanico Pro
Maccanico Pro
Avatar utente
Iscritto il: dom, 22 feb 2015 11:54
Messaggi: 2520
Contatta:

Top

Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: sab, 18 giu 2016 22:14

installando un aggiornamento di Flash "che veniva proposto con insistenza"
M'ha sempre fatto schifo flash, permettetemi il termine.
Sin dall'epoca di Windows.
"L'espressione migliore di educazione è quella di correggere in privato e congratulare in pubblico."
fragrua
Admin of my life
Admin of my life
Avatar utente
Iscritto il: sab, 08 ott 2005 07:00
Messaggi: 56322
Località: [k]ragnano
Contatta:

Top

Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: dom, 19 giu 2016 10:10

xChApPiR ha scritto:
installando un aggiornamento di Flash "che veniva proposto con insistenza"
M'ha sempre fatto schifo flash, permettetemi il termine.
Sin dall'epoca di Windows.
Questo non c'entra niente con il topic. Anche a me Flash potrebbe fare schifo, il problema è che non capisco come sia possibile NON riconoscere il vero Flash dal finto. È come cadere nel phishing, bisogna essere dei veri boccaloni, e quanti sempre di derivazione PC-Win.

Allora la regola è sempre la stessa: NON installare NULLA se non si ha l'assoluta certezza di cosa sia.

All'inizio di Mac OS X ci divertivamo a mandare agli amici uno script con icona di immagine che spostava tutto il contenuto del desktop in una cartella invisibile con il punto avanti. Era un virus? :roll: Eppure faceva paura all'uomo ingenuo. :D

La storia andò avanti fino al 2006. ;)

Immagine
La prima cosa su cui devi investire è il benessere del tuo corpo, l'unica cosa che ti porterai nella tomba.
Franz Grua (sarebbe fragrua)

In un mondo perfetto io sarei un essere inutile.
©2015 albertocchio

—> Uso corretto del Forum: https://goo.gl/9xOO0a

Immagine
vink
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mer, 24 ott 2012 21:00
Messaggi: 49
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: gio, 11 mag 2017 00:31

up.

temo di avere lo stesso problema e non riesco a liberarmene!
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26208
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: gio, 11 mag 2017 01:50

Reinstalla da zero e importa i dati nudi, null'altro.

È troppo complicato disinstallarlo a mano.
Gli script possono fare danni gravi.

Se è cosa da poco tempo di invasione, un vero esperto ce la fa.
Ma è un lavoro lungo e difficoltoso
macbio
Stella nascente
Stella nascente
Iscritto il: mar, 19 gen 2010 23:06
Messaggi: 524
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: gio, 11 mag 2017 10:38

salve a tutti
vedo che la discussione è tra ESPERTI, ma noi che si fa, farei fatica ad effettuare le verifiche se non con istruzioni dettagliate passo per passo e specialmente quando mi si chiede di analizzare il pacchetto dell'app., prima di installarla; da non esperto mi chiedo quali strumenti ho a mia disposizione per riconoscere in un pacchetto di installazione quale e che file, nel caso ci fosse, potrebbe essere malevole.
grazie
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26208
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: gio, 11 mag 2017 10:46

Non è una cosa semplice, anche se ci sono degli strumenti che è facile usare.
Bisogna solo rispettare delle regole di base.

Se hai pazienza... Sto preparando un piccolo tutorial.
Ho quasi finito di testare il tutto
macbio
Stella nascente
Stella nascente
Iscritto il: mar, 19 gen 2010 23:06
Messaggi: 524
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: gio, 11 mag 2017 11:22

ok :lol:
vink
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mer, 24 ott 2012 21:00
Messaggi: 49
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: gio, 11 mag 2017 23:48

faxus ha scritto:Non è una cosa semplice, anche se ci sono degli strumenti che è facile usare.
Bisogna solo rispettare delle regole di base.

Se hai pazienza... Sto preparando un piccolo tutorial.
Ho quasi finito di testare il tutto
due domande:
- ho letto che può essere pericoloso tentare la rimozione senza formattare. roba che devo buttare via tutto?
- come posso essere sicuro di andare abbastanza indietro con time machine?
- che verifica devo fare per sapere se ho preso pirrit?

thx
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26208
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: ven, 12 mag 2017 00:32

vink ha scritto:...- come posso essere sicuro di andare abbastanza indietro con time machine?...
Qualsiasi scelta è senza fondamento.

Puoi solo verificare a posteriori, se non hai buone conoscenze del tuo sistema.
Il realtà è possibile, bisogna andare a vedere nelle cartelle nascoste dell'utente.
Nei private/var/tmp se ci sono degli Injector e degli installer tipici.
Si fa per esperienza, perché non ci sono nomi ricorrenti, solo tipi.

Quindi dovresti individuarli allo stato attuale.
Poi andare indietro nella Macchina del tempo fino a che non li trovi.

Onestamente è più facile e sicuro reinstallare
vink ha scritto:...- che verifica devo fare per sapere se ho preso pirrit?
Esegui i comandi:

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401
La prima lista deve contenere solo gli amministratori standard di OS X.
La seconda deve essere vuota (salvo che non hai tu volutamente creato degli utenti invisibili)

Se sei incerto, posta la risposta, la vedremo insieme
vink
Apprendista Maccanico
Apprendista Maccanico
Iscritto il: mer, 24 ott 2012 21:00
Messaggi: 49
Oggetto del messaggio: Re: OSX.Pirrit: è il solito malware, o possiamo chiamarlo VI

Messaggio Inviato: sab, 13 mag 2017 21:37

_assetcache

_webauthserver



secondo comando non da nulla:
iMac-di-Vincenzo:~ Vince$ dscl . -list /Users UniqueID | grep 401
iMac-di-Vincenzo:~ Vince$
Ultima modifica di vink il dom, 14 mag 2017 15:46, modificato 1 volta in totale.
Rispondi