Nei giorni scorsi si era diffusa la notizia della scoperta di una nuova variante del trojan Flashback, una pericolosa minaccia che – sfruttando una vulnerabilità presente nel pacchetto Java – è in grado di attaccare i sistemi Mac OS X (vi suggeriamo, in proposito, la lettura di questo nostro articolo).
Gli esperti di Dr. Web, nota azienda russa produttrice dell’omonimo software antivirus (ved., ad esempio, questo articolo), hanno voluto studiare quanto sia realmente diffuso il malware Flashback sui sistemi di Apple. Il dato emerso è davvero notevole perché sarebbero già 600.000 le macchine Mac OS X infette, la maggior parte delle quali concentrate negli Stati Uniti (56,6%), in Canada (19,8%), nel Regno Unito (12,8%) ed in Australia (6,1%). In Italia, invece, gli utenti Apple bersagliati da Flashback rappresenterebbero lo 0,3% del totale. Secondo i ricercatori di Dr. Web quasi 300 macchine infette sarebbero state rilevate proprio a Cupertino, in California, località che – com’è noto – ospita il “quartier generale” di Apple.
Le più recenti varianti del trojan Flashback sono state notevolmente migliorate tanto da sfruttare alcune vulnerabilità presenti nell’implementazione di Java per Mac OS X e da evitare l’installazione su quei sistemi ove sia rilevata la presenza di applicazioni per la sicurezza quali Little Snitch, VirusBarrier X6, iAntiVirus, ClamXav, HTTPScoop e Packet Peeper od, addirittura, lo strumento di sviluppo Apple XCode.
Agli utenti viene caldamente consigliato di installare subito il più recente aggiornamento per il pacchetto Java messo a disposizione da Apple.
Per verificare se è sistema Mac OS X è stato infettato da Flashback, è possibile ricorrere ai seguenti comandi, da lanciare dalla finestra terminale del sistema operativo:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
Se tutti i comandi restituiscono un errore, non vi è alcuna traccia dell’infezione. In caso contrario, è possibile seguire le indicazioni pubblicate da F-Secure per rimuovere la minaccia.