I ricercatori di F-Secure (società specializzata in sicurezza e prodotti antivirus) hanno individuato un malware che disabilita le “firme” antimalware incluse di serie in OS X Snow Leopard e aggiornabili in automatico da Apple. Da OS X 10.6.x in poi è presente un sistema semplice e basilare che consente di proteggersi dai (per fortuna quasi inesistenti) malware scritti per Mac OS X. File dall’aspetto innocente scaricati da internet, infatti, potrebbero contenere applicazioni pericolose: i download effettuati ad esempio con Safari, Mail e iChat vengono analizzati per determinare se contengono applicazioni. In caso affermativo, Mac OS X allerta l’utente e lo avvisa la prima volta che un’applicazione è aperta. Il semplice “antivirus” di serie con Snow Leopard e Lion verifica la presenza di software malevolo grazie a un database di definizioni che si trova nel file di sistema XProtect.plist (si trova in /System/ Library/ CoreServices/ CoreTypes.bundle/ Contents/ Resources/). La funzione antimalware integrata in OS X non offre opzioni per “ripulire” o “disinfettare” il file: il sistema si limita a consigliare di cancellare il documento infetto, spostandolo nel Cestino e svuotandolo.
Il nuovo “Trojan-Downloader:OSX/Flashback.C”, arriva come già visto in altri casi, sotto forma del solito finto Flash Player per OS X e, una volta avviato (dopo aver indicato nome utente e password dell’utente amministratore) disabilità la ricezione di aggiornamenti per Xprotext.plist.
Il consiglio per non imbattersi in simili applicazioni è quello che abbiamo già ripetuto molte volte: non scaricate nulla da siti che non siano più che affidabili. In particolare, per quanto riguarda Flash, la fonte pressoché unica da cui ottenere l’installer è il sito Adobe. La maggior parte di malware esistenti per Mac OS X affinché possano effettivamente attaccare il sistema, al contrario di vere applicazioni malevole, richiede lo scaricamento di un’applicazione, il consenso all’esecuzione della stessa e l’inserimento di nome e password dell’utente amministratore. Se si compiono simili azioni, cedendo alla tentazione di pensare che nulla può scalfire il nostro sistema, non esiste alcun tipo di antivirus o di difesa efficace.
Una semplice regola di prudenza prevede di lavorare con privilegi di amministratore solo quando è strettamente indispensabile: installare aggiornamenti del sistema operativo, eseguire procedure di manutenzione, installare applicazioni note e di provenienza inequivocabile, ecc. E’ buona norma creare almeno due utenti: un utente amministratore e un utente senza privilegi e usare quest’ultimo per svolgere le normali attività, delegando all’utente amministratore solo alcuni compiti e usando quest’utenza solo quando è strettamente necessario.
[A cura di Mauro Notarianni]
