Intego ha diramato una nota di sicurezza in cui svela l’esistenza e il comportamento di un nuovo trojan horse battezzato Koobface.A. La società dichiara di aver monitorato questo malware da diversi mesi ma di non aver comunicato nulla in precedenza a causa della limitata pericolosità della minaccia. La decisione di svelarne esistenza e comportamento, dichiara Intego è stata presa in seguito alla diffusione di alcuni report di sicurezza poco precisi. Questa precisazione e le caratteristiche del malware, molto simili al trojan horse Boonana emerso questa mattina, lasciano supporre che i due malware non siano altro che diverse versioni della stessa minaccia oppure lo stesso malware indicato con due nomi diversi.
In ogni caso riportiamo comportamento e funzioni per informare gli utenti della Mela e non solo: Intego precisa che la nuova minaccia è in grado di infettare non solo Mac OS X ma anche Windows e persino Linux. Seppur definito per brevità come un trojan horse questo malware che si diffonde a partire da link trasmessi via Facebook, Twitter e MySpace contiene numerosi elementi al suo interno. Gli specialisti di Intego infatti precisano che Koobface.A si diffonde come un worm, si installa come un trojan horse per installare rootkit, backdoor, controllo e comando remoti e altri elementi.
Seguendo un link per visualizzare video all’utente viene richiesto di installare un applet Java: il certificato di sicurezza associato, se visualizzato dall’utente, conferma che si tratta di una fonte non affidabile. Se l’utente ignora l’avviso e procede il sistema viene infettato. Il malware cerca di scaricare e installare altri file malevoli da server remoti ma Intego comunica che fino ad oggi, pur avendo rilevato una diffusione del malware, gli attacchi non sono passati alle fasi successive. Questo si è verificato perché i server remoti contatti dal malware non sono operativi e anche a causa di un bug nel codice che impedisce il corretto funzionamento del malware.
In sostanza per il momento Koobface.A non rappresenta una seria minaccia per gli utenti di Mac ma Intego raccomanda attenzione: le funzioni secondarie e più pericolose potrebbero entrare in funzione in futuro. Essendo una variante di un altro malware conosciuto in ambiente Windows le funzioni possibili sono numerose e tutte in grado di provocare grandi danni: avvia l’esecuzione di un web server locale e anche di un server IRC, trasforma il computer in un botnet, modifica il server DNS, diffonde messaggi via Facebook, MySpace e Twitter per tentare di diffondersi nei sistemi di altri utenti.
Le precauzioni consigliate sono quelle di rifiutare l’installazione di qualsiasi Applet Java e in generale di rifiutare qualsiasi finestra di installazione che appare autonomamente senza che l’utente abbia effettuato un doppio clic su un package di installazione. Intego Virus Barrier X5 e X6 sono in grado di rilevare e anche di rimuovere questa minaccia: per ulteriori informazioni rimandiamo al sito web ufficiale di Intego.