Come rimuovere il software che infetta mezzo milione di Mac

Mercoledì 4 marzo, Doctor Web, società che si occupa di sicurezza informatica in Russia, ha segnalato l’esistenza di Flashback, un programma informatico malevolo che negli ultimi giorni avrebbe infettato circa 600mila Mac, i computer di Apple. A distanza di qualche giorno gli esperti di Kaspersky – una delle aziende per la sicurezza dei computer più conosciuta al mondo – hanno confermato l’esistenza del software dannoso e hanno stimato in mezzo milione il numero dei Mac infetti. Casi di questo tipo capitano spesso con i PC che utilizzano Windows (Microsoft è diventata molto rapida nel porvi rimedio), mentre si verificano più raramente sui Mac.

Come segnala Arik Hessedahl su AllThingsD, il blog tecnologico del Wall Street Journal, il problema di sicurezza in realtà non riguarda direttamente Apple, ma il software aggiuntivo Java di Sun Microsystems, controllata ora dalla multinazionale informatica Oracle. Sfruttando una falla di sicurezza in questo sistema, alcuni siti web fanno caricare al browser righe di codice malevolo scritte in Java. Le istruzioni fanno comparire sullo schermo una mascherina dove viene richiesto di inserire la password dell’amministratore del computer, quella che viene di solito richiesta tra le altre cose quando si installa un nuovo programma per dargli accesso a particolari, e delicate, aree del sistema operativo. Per non fare insospettire l’ignaro utente, nella mascherina viene specificato che l’inserimento della password serve per installare un aggiornamento di Flash, il programma aggiuntivo di Adobe per vedere video e altri contenuti multimediali online. Da qui il suo nome Flashback.

Il software malevolo è particolarmente elaborato e, se ottiene l’accesso al Mac, avvia automaticamente il download di altri componenti trasformando infine il computer in un componente di una vasta botnet. In pratica, il dispositivo viene trasformato in uno zombie, un computer comandato a distanza che esegue particolari ordini all’insaputa del suo utente. In questo caso specifico, Flashback fa visitare ai Mac alcuni siti web dove sono ospitati annunci pubblicitari pagati per ogni clic effettuato su di essi. In genere tali siti sono riconducibili agli ideatori di questi sistemi, che sperano così di mettere insieme qualche soldo.

Aggiornamento
Ieri Apple è corsa ai ripari mettendo a disposizione un aggiornamento di Java che pone rimedio alla falla di sicurezza. Per installarlo è sufficiente cliccare sulla mela in alto a sinistra (quella che fa comparire il menu principale), selezionare “Aggiornamento software” e seguire le istruzioni. Una volta installato l’update, il proprio Mac non sarà più esposto ai pericoli di Flashback.

Rimuovere Flashback
Negli ultimi giorni diverse società di sicurezza informatica hanno messo a disposizione guide e suggerimenti per verificare se il proprio Mac sia stato infettato o meno dal programma malevolo. La verifica richiede una minima dimestichezza con “Terminale”, il sistema per inviare comandi testuali sui Mac. Se non lo avete mai usato e conoscete qualcuno più esperto chiedetegli una mano, ché si possono combinare disastri.

1. Dopo aver aperto “Terminale” (si trova nella cartella “Utility” contenuta nella cartella “Applicazioni”, oppure può essere richiamato da “Spotlight”) bisogna inserire questo comando (può essere copiato da questa pagina e incollato su “Terminale” senza riscriverlo) e fare Invio:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

2. Prendete nota della voce DYLD_INSERT_LIBRARIES

3. Se viene visualizzato questo messaggio di errore, proseguite al punto 8:

“The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”

4. Altrimenti, inserite e inviate questo comando:

grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step2%

5. Prendete nota della voce “__ldpath__”

6. Fate eseguire questi due comandi:

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

7. Cancellate i file ottenuti ai passaggi 2 e 5.

8. Fate eseguire questo comando:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

9. Prendete nota del risultato. Se il vostro Mac non è infetto dovreste ottenere un messaggio di errore simile a questo:

“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”

10. Altrimenti, fate eseguire questo comando:

grep -a -o ‘__ldpath__[ -~]*’ %path_obtained_in_step9%

11. Prendete nota della voce dopo “__ldpath__”

12. Fate eseguire questi comandi:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES

13. Infine, cancellate i file ottenuti ai passaggi 9 e 11.

Sono state rilevate anche alcune varianti del programma malevolo, che non possono essere rimosse con le istruzioni qui sopra. F-Secure ha pubblicato una guida per affrontare il problema e, anche in questo caso, se riscontrate problemi vi consigliamo di farvi aiutare da qualcuno più esperto.

Il problema interessa complessivamente tra il mezzo milione e i 600mila Mac, almeno stando alle rilevazioni di alcune società di sicurezza informatica. La maggior parte dei computer Apple infetti si trova negli Stati Uniti, circa la metà, e si stima ve ne siano circa 94mila in Canada e 47mila nel Regno Unito. In Italia, il numero di Mac infetti è intorno ai 6500 dispositivi. Nel complesso il problema coinvolge meno dell’1 per cento di tutti i Mac in uso nel mondo, che sono circa 63 milioni.