Roberto Pulito

Mac, spuntano altri due trojan

I computer di Cupertino si ritrovano a fare i conti con Sabpab, nuovo malware che non richiede l'interazione dell'utente per infettare OSX. Attacca via Java o Word, ma le patch sono già disponibili

Roma - Dopo i 650.000 Mac infettati da Flashback.K si torna a parlare di trojan per OSX che sfruttano vulnerabilità Java. I ricercatori di Sophos hanno individuato una nuova minaccia, chiamata Sabpab, che non ha bisogno della password d'amministratore per installarsi sul computer.

Sabpab non è neppure lontanamente diffuso come Flashback.K, ma sfrutta la stessa falla Java per lavorare indisturbato in quello che il sistema operativo considerato un processo di fiducia. Una volta a bordo il malware si connette a un server di controllo utilizzando il protocollo HTTP e riceve istruzioni dai malintenzionati che possono quindi eseguire comandi da remoto. In circolazione ci sarebbe comunque anche un'altra versione che sfrutta una vulnerabilità di Word per farsi strada tra le maglie del sistema operativo.

Gli utenti che hanno già scaricato e installato gli ultimi aggiornamenti software Apple, con le patch per l'insidiosa vulnerabilità Java, dovrebbero essere già al sicuro. In ogni caso i tecnici di Cupertino hanno appena rilasciato uno strumento di rimozione malware dedicato a OSX Lion, sistema che comunque non include più il plugin Java installato di default. Nel caso della variante che attacca il Word, questa patch (in giro dal 2009) dovrebbe tenere al sicuro i sistemi.
MacDefender, Flashback, BlackHole RAT e Sabpub. Negli ultimi mesi l'interesse dei cracker verso i computer Apple è cresciuto sempre di più, anche se non sempre alla minaccia è poi davvero seguita una epidemia diffusa e virulenta. Argomenti come virus e trojan sono all'ordine del giorno su PC Windows ma rappresentano una spinosa novità in ambito Mac. Una novità che sta cogliendo di sorpresa utenti (alcuni almeno), ma non gli addetti ai lavori. È giunto il tempo degli antivirus per Mac?

Roberto Pulito
Notizie collegate
  • SicurezzaFlashback.K, il malware Mac si evolveNuova versione del trojan che può infettare OS X anche senza conoscere la password admin. Sfruttando una vulnerabilità Java ancora non corretta
  • SicurezzaApple ripara JavaRilasciato l'update che sistema la vulnerabilità Java e blocca l'epidemia malware su Mac. Oltre 600mila casi di infezione registrati in nordamerica
139 Commenti alla Notizia Mac, spuntano altri due trojan
Ordina
  • Quanti luoghi comuni...
    non+autenticato
  • sono sistemi originali o sono le copie che si scaricano per installarle su pc non apple ?magari poi viene fuori che i virus prendono solo versioni tarocche..e guarda caso se vuoi stare sicuro ti compri il mac originale...
    non+autenticato
  • bevi de meno!! A bocca aperta
  • Se ti riferisci agli hackintosh, no. Dal punto di vista dell'OS sono identici.
    Le distribuzioni hackintosh hanno solo un bootloader custom che permette all'OS originale di essere installato su hardware generico (più, eventualmente, alcuni drivers presi qua e là, ma sempre fatti da Apple o suoi fornitori).

    Certo, scaricando queste distribuzioni da siti warez è sempre possibile che qualcuno ci infili un malware. Ma non è il caso di questi malware che sfruttano una vulnerabilità del plug in Java da una pagina web.
  • - Scritto da: gaylord Focker
    > sono sistemi originali o sono le copie che si
    > scaricano per installarle su pc non apple ?magari
    > poi viene fuori che i virus prendono solo
    > versioni tarocche..e guarda caso se vuoi stare
    > sicuro ti compri il mac
    > originale...
    è una vulnerabilità di Java, quindi il booloader o eventuali estensioni del kernel aggiuntive non hanno alcuna importanza.

    Come giustamente dice MacGeek, chiaramente, nulla vieta a chi distribuisce la copia piratata del sistema di preinstallarci un bel client per qualche botnet. Anche se finora non mi pare che mi sia mai giunta notizia di qualcosa di simile.
  • - Scritto da: gnammolo
    > http://www.apple.com/it/why-mac/better-os/#viruses

    Bhè a voler essere pignoli come pubblicità non è ingannevole per nulla dato che i virus per Windows funzionano solo sotto Windows, quello che non dicono è che di virus che funzionano sotto MacOSX ce ne sono.
    mura
    1717
  • È immune dai virus per PC.
    I Mac non vengono attaccati dalle migliaia di virus che minacciano costantemente i computer basati su Windows

    pensi che siano così fessi?A bocca aperta
    MeX
    16897
  • - Scritto da: MeX
    > È immune dai virus per PC.
    >

    >
    > I Mac non vengono attaccati dalle migliaia di
    > virus che minacciano costantemente i computer
    > basati su Windows

    Falso, dal momento che windows può essere installato anche su mac, e i relativi virus possono entrare.

    >
    >
    > pensi che siano così fessi?A bocca aperta

    Visto il tipo di utenti a cui si rivolgono, non mi stupirebbe.
    non+autenticato
  • - Scritto da: uno qualsiasi

    > Falso, dal momento che windows può essere
    > installato anche su mac, e i relativi virus
    > possono entrare.

    La pagina riguarda OS X.
    -----------------------------------------------------------
    Modificato dall' autore il 18 aprile 2012 09.52
    -----------------------------------------------------------
    FDG
    10933
  • - Scritto da: uno qualsiasi
    > Falso, dal momento che windows può essere
    > installato anche su mac, e i relativi virus
    > possono
    > entrare.
    >

    Falso, visto che la pagina Apple è sul sistema operativo e non sul ferro.

    FAIL

    > Visto il tipo di utenti a cui si rivolgono, non
    > mi
    > stupirebbe.

    Utenti che peró sanno capire di cosa parla la pagina internet appena postata.
    non+autenticato
  • Dove e' finito il thread che parlava delle conseguenze che il virus per mac ha avuto sulle azioni apple?

    E' stato censurato per davvero?

    Non ci posso credere! Sorpresa
  • ah si stavo per risponderti!

    A parte che il calo non è certo eclatante visto quando le azioni sono SALITE… inoltre siamo vicini alla fine del quadrimestre fiscale, quindi si vende per incassare e far scendere il prezzo delle azioni, poi si aspettano i risultati del quarter, se i risultati sono buoni si compra subito (ad un prezzo più basso perché prima hai venduto) e dopo un giorno sale di nuovo di brutto se i risultati presentati sono buoni… secondo te le azioni scendono perché ci sono 4 worm? che tenerezza
    MeX
    16897
  • - Scritto da: MeX
    > ah si stavo per risponderti!
    >
    > A parte che il calo non è certo eclatante visto
    > quando le azioni sono SALITE… inoltre siamo
    > vicini alla fine del quadrimestre fiscale, quindi
    > si vende per incassare e far scendere il prezzo
    > delle azioni, poi si aspettano i risultati del
    > quarter, se i risultati sono buoni si compra
    > subito (ad un prezzo più basso perché prima
    > hai venduto) e dopo un giorno sale di nuovo di
    > brutto se i risultati presentati sono buoni…
    > secondo te le azioni scendono perché ci sono 4
    > worm? che
    > tenerezza

    E allora aspettiamo.
  • aspetta aspetta… che quando dicevamo che arrivavano a 500 vi facevate grasse risate e siamo a 609 adesso
    MeX
    16897
  • - Scritto da: panda rossa
    > Dove e' finito il thread che parlava delle
    > conseguenze che il virus per mac ha avuto sulle
    > azioni
    > apple?
    >
    > E' stato censurato per davvero?
    >
    > Non ci posso credere! Sorpresa

    Strano, eh? Se hai ancora l'immagine puoi ripostarla?
    Shiba
    3922
  • se lo conosci lo eviti, se lo conosci non lo installi
    non+autenticato
  • wow ho scritto questo post mentre ero lontano dal pc? come avrò fatto? Rotola dal ridere
    non+autenticato
  • C'hai un virusssssss A bocca aperta
    non+autenticato
  • nnnnnnnnoooooooooooooo, hanno scoperto che ho un cervello cibernetico Rotola dal ridere

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: collione
    > wow ho scritto questo post mentre ero lontano dal
    > pc? come avrò fatto?
    > Rotola dal ridere

    Hai un mac, c'è chi scrive per te.
    non+autenticato
  • non sapevo che ruppolo fosse così premurosoA bocca aperta
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: collione
    > > wow ho scritto questo post mentre ero
    > lontano
    > dal
    > > pc? come avrò fatto?
    > > Rotola dal ridere
    >
    > Hai un mac, c'è chi scrive per te.
    No, ha Word con un macrovirus che genera altre Words
  • Questo oramai è poco sfruttabile. Visto anche il calo repentino delle infezioni Flashback (ma questo non fa notizia, ovviamente), si può presupporre che l'aggiornamento ha raggiunto i destinatari. Quindi...

    E poi scusate, ma secondo me non sono trojan ma worm. Se non richiedono l'intervento dell'utente, non sono trojan.
    FDG
    10933
  • - Scritto da: FDG
    > Questo oramai è poco sfruttabile. Visto anche il
    > calo repentino delle infezioni Flashback (ma
    > questo non fa notizia, ovviamente), si può
    > presupporre che l'aggiornamento ha raggiunto i
    > destinatari.
    > Quindi...
    >
    > E poi scusate, ma secondo me non sono trojan ma
    > worm. Se non richiedono l'intervento dell'utente,
    > non sono
    > trojan.

    non è esatto, i worm nascono crescono si riproducono si muovono e muoiono, vengono considerati al pari di una entità vivente, i troyan invece sono dei parassiti, non si riproducono da soli, non si muovono, e in entrambi i casi l'intervento dell'utenza è ininfluente per categorizzarli nelle macrocategorie, scrissi un articolo su .dev un po di anni fa che riportava tutte le categorie di virus e malware vari, forse lo trovi in rete
    non+autenticato
  • ma in ogni caso non si tratta di trojan, in quanto non finge di essere qualcos'altro per indurti ad installarlo
    non+autenticato
  • - Scritto da: collione
    > ma in ogni caso non si tratta di trojan, in
    > quanto non finge di essere qualcos'altro per
    > indurti ad installarlo

    Bisogna trovargli un nuovo nome. Non sono né virus, né trojan, né worm.
    Sarebbero dei "Browser-Malware" ma è troppo lungo. Idee?
  • in genere vengono definiti drive-by-download
    non+autenticato
  • Per me la distinzione principale va fatta tra:
    Virus: che infettano un file per "vivere" (ovvero i vecchi Virus per DOS e i Macrovirus);
    Worm: che non infettano un file ma sono processi separati, spesso indipendenti e senza alcun legame con altri processi "benevoli".
    Tra i Worm ci sono ovviamente varie sotto-categorie: Trojan, RAT, Rogue, Keylogger, Spyware, Rootkit ma anche i semplici ".BAT" e ".VBS" che semplicemente impauriscono l'utente. Alcuni di essi si riproducono (Rootkit, Keylogger, Spyware), mentre altri no (Trojan, RAT, Rogue). Quindi i Worm infettano macchine e non fileSorride
    non+autenticato
  • > Sarebbero dei "Browser-Malware" ma è troppo
    > lungo.
    > Idee?

    macbuster.
    non+autenticato
  • - Scritto da: nome e cognome

    > macbuster.

    Hai aggiornato java?

    Controlla, perché il buco è di java, quindi...
    FDG
    10933
  • - Scritto da: cereal K

    > non è esatto, i worm nascono crescono si
    > riproducono si muovono e muoiono, vengono
    > considerati al pari di una entità vivente, i
    > troyan invece sono dei parassiti, non si
    > riproducono da soli...

    Ok, il senso del termine "worm" mi è chiaro. Ma perché chiamare Cavallo di Troia qualcosa che non viene portato dentro le mura senza che l'utente lo voglia?
    FDG
    10933
  • - Scritto da: FDG
    > Ok, il senso del termine "worm" mi è chiaro. Ma
    > perché chiamare Cavallo di Troia qualcosa che non
    > viene portato dentro le mura senza che l'utente
    > lo voglia?

    Comunque ti ingannano a visitare un sito, dove c'è il malware che sfrutta una vulnerabilità del browser o dell'OS o più spesso di qualche plug-in, facendoti credere di trovare lì qualcosa di tuo interesse.

    In questo senso possono essere definiti Trojan. Ma è un po' stiracchiata la cosa.
    Anche perché potrebbero anche non ingannare te direttamente e invece infiltrarsi in siti leggittimi spacciandosi, ad esempio, per banner pubblicitari.

    Insomma è proprio un differente modo di veicolare il malware rispetto alle modalità "classiche".

    Quello che oggi si chiama Trojan è un programma che scarichi e lanci credendo che faccia una cosa, invece ne fa un'altra (o le fa tutte e due, perché l'applicazione ospite è stata patchata inserendo il codice malevolo, un po' come fanno i virus, ma senza replicazione automatica).

    Questo stesso malware nelle precedenti incarnazioni era un Trojan in senso classico: veniva nascosto in alcune applicazioni warez.
  • ma sai però che neanche troyan è esatto? si questo malware era parte di un vero e proprio troyan, adesso invece è una entità a se stante, fa scanning cercando macchine vulnerabili nella stessa rete, si comporta come un bot automatizzando molti processi che dovrebbero essere ad appannaggio dell'utente, ora sono decisamente più evoluti anche se si muovono come un rinoceronte in una cristalleria, è da studiare questo nuovo comportamento del malware, sopratutto in un ambiente come quello apple che non è ispirato a canoni di sicurezza, il prossimo passo sarà il creare un nodo per decentralizzare la botnet evitando cosi che il padrone possa essere rintracciato e sia molto più difficile debellarla
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)