Flashback, il virus che ha infettato 600mila Mac, ecco come rimuoverlo

I pc della Apple, ritenuti i meglio scudati dai virus informatici, sono stati penetrati da un codice maligno che mai prima di oggi ha colpito su una così vasta scala.

Si chiama “Flashback”, il virus che ha infettato circa 600mila Mac tra i quali anche ben 274 nella sede della mela a Cupertino. Il virus è stato scoperto da un’azienda russa di antivirus, la Dr.Web, che subito ha lanciato l’allarme.

Flashback si insinua nel sistema sfruttando una vulnerabilità Java dei browser internet Safari. All’inizio il malware arrivava nei computer camuffato da estensione per Flash, ma ha presto trovato altre strade e metodi più aggressivi di contagio dopo essere stato intercettato e messo in quarantena.

Fortunatamente in Italia sono stati interessati solo lo 0,3 % dei pc, Il 57% delle macchine infette è negli Usa, il 20% in Canada.

Apple ha già rilasciato il codice per tappare la falla, una patch scaricabile dal sito proprietario,  mentre F-Secure ha pubblicato una guida di intervento rapido sul sistema da seguire utilizzando la funzione “Terminale” di Mac Os. E’ infatti possibile che l’infezione al computer sia già in atto, dopo la penetrazione del virus nel sistema. Per ripararsi è possibile anzitutto disabilitare Java. Nel caso la falla fosse già aperta, ecco la guida alla rimozione del malware come redatta da F-Secure.

1 – Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”

2 – Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio

3 – Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti.

4 – Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”

5 – Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo punto e nel quarto.

6 – Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori.

7 – Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.