Come facilmente prevedibile cominciano a circolare varianti di alcuni trojan individuati alcuni giorni addietro. La prima variante è stata scoperta da Microsoft ed è denominata “Trojan:MacOS_X/Boonana” e circola all’interno di un file denominato “OSXDriverUpdates.tar”. Quando questo pacchetto è eseguito, il trojain viene installato nella cartella /Library/StartupItems/ impostando l’owner su “root” , il gruppo su “wheel” e i permessi come “owner:Read+Write+Execute group:Read+Execute all:Read+Execute”. Il sistema copie alcuni file in /private/etc consentendo l’esecuzione senza bisogno che sia richiesta una password. Una cartella nascosta denominata “.jnana” viene creata in “/var/root” e il file “jnana.tsa” copiato dalla cartelle home alla cartella creata prima con i permessi modificati in modo da consentire l’esecuzione.
La seconda variante è denominata “trojan.osx.boonana.b”: si comporta in modo simile al malware originale e pare sia distribuita già da alcuni siti. Alcuni server sembrano proporre un generico update contenente in realtà codice per l’esecuzione del malware. La società ESET ha, infine, identificato una variante del malware Boonana che s’installa in /Library/StartupItems sotto il falso nome di “OSXUpdates”. L’utente viene colpito con tecniche di social-engineering: si viene invitati a scaricare ed eseguire un’applicazione in modo da fornire username e password e installare all’insaputa dell’utente il malware.
Vi sono pareri molto contrastanti sull’effettiva efficacia dei malware suddetti. I produttori di antivirus tendono ovviamente a diffondere le notizie con toni allarmistici. Come sempre, raccomandiamo massima prudenza nell’installare applicazioni o simili (esempio: codec video) provenienti da fonti sconosciute. Ricordiamo anche che qualche giorno addietro la società Sophos ha rilasciato un antivirus per Mac gratuito (per uso domestico) che consente di individuare in automatico le minacce nuove e quelle già esistenti; anche la software house Maintain, creatrice dell’utility Cocktail, ha inlcuso nell’ultima release dell’applicazione tool specifici per la rimozione dell’ultima variante del trojan Koobface.A (Boonana.A).
[A cura di Mauro Notarianni]
