Come difendersi da Flashback.C

OSX Flashback.C è un trojan di recente diffusione che colpisce i sistemi operativi Mac OS X. È una nuova variante di un software nocivo già conosciuto dagli utenti Apple. Si tratta di un malware persistente con funzionalità da backdoor che, una volta preso il controllo del sistema, attiva una connessione con un host remoto e resta in attesa di ordini. L’host rimane inattivo sino a quando il collegamento telematico non viene messo in azione per introdurre attacchi dannosi al sistema informatico, quali la diffusione di nuovi malware o di versioni più recenti dello stesso trojan. Tra le attività dell’agente nocivo non può essere escluso l’invio di dati sensibili dal computer infetto a server remoti. Individuato da F-Secure (società specializzata in sicurezza informatica), OSX Flashback.C si presenta sotto forma di installer di una nuova versione di Adobe Flash Player e mette in pratica le attività di resistenza ai software anti-antivirus già conosciute in relazione ai malware che affliggono i sistemi operativi Windows. L’attivazione del trojan necessita dell’assenso dell’utente che, tratto in inganno dalla veste camuffata ed apparentemente innocua, procede all’installazione fornendo la password di sistema. È molto importante, perciò, fare attenzione a non installare versioni di Flash Player che non siano state scaricate dal sito ufficiale di Adobe. La possibilità di impedire l’attivazione del trojan attraverso la password di autenticazione è, al momento, uno dei metodi più efficaci per scongiurare l’aggressione.

Nei casi in cui il malware sia stato inopinatamente attivato, XProtect (l’applicazione antivirus integrata nei sistemi Mac OS X) si disabilita in maniera automatica per permettere la creazione di una backdoor, cioè di una porta di ingresso che i malintenzionati possono usare per accedere al PC tramite internet. Una delle particolarità di OSX Flashback.C consiste nella disabilitazione della ricezione degli aggiornamenti automatici per XProtect. In questo modo può resistere più a lungo sulla macchina infetta. L’azione del trojan si concretizza nell’eliminazione dei file necessari all’installazione degli aggiornamenti del software di protezione. Il virus, prima di tutto, decripta le paths dei file Property List (.plist) e termina il caricamento dell’agente nocivo XProtectUpdater.

Eseguita questa operazione, sostituisce i file di XProtectUpdater con un carattere vuoto, sovrascrivendo quindi i file .plist e binari di XProtectUpdater. Questo processo elimina alcuni file e fa si che XProtect non possa ricevere automaticamente futuri aggiornamenti. Il tentativo di disattivare le difese integrate del sistema è, del resto, una tattica molto comune ai malware anche sulle piattaforme Windows. Trattandosi di un trojan resistente, non è facile rimuoverlo dal Mac ad infezione avvenuta anche mediante l’uso di specifici software antivirus.

Flashback.C 1

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>