Secondo una nota società di sicurezza Russa, Dr Web, sembra che il trojan FlashBack, abbia già infettato già 600.000 Mac. Qualche giorno fa, Apple ha rilasciato un nuovo aggiornamento di Java per risolvere questo problema ma i dati non sembrano rassicuranti.
Ricordiamo che questo virus si mascherava da finto aggiornamento di Java e si installava sul vostro Mac senza chiedere la password di sistema. Dr Web, forse per sponsorizzare i propri servizi di sicurezza, ha dichiarato ieri di essere certo dell’esistenza di una botnet formata da 600.000 Mac infetti, quasi tutti dislocati negli Stati Uniti e in Canada. E non è tutto, perché addirittura 274 macchine sarebbero di stanza nientemeno che al Campus di Cupertino.
In attesa di sapere se questi dati sono veritieri o meno, F-Secure ha rilasciato una facile guida per scoprire se il trojan alberga nel proprio computer.
- Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
- Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
- Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti
- Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”
- Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo punto e nel quarto
- Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori
- Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.
Allora voi avete riscontato questo virus?