Cerca nel blog

2006/02/16

Finalmente un virus/worm per Mac, anche se blando

Questo articolo vi arriva grazie alle gentili donazioni di "mauriziob****", "ffilippi" e "lelefigo".

Sta destando notevole curiosità la notizia dell'avvistamento di quello che viene definito il primo worm per Mac. La segnalazione è di Macrumors.com.

Per prevenire l'ondata di "te l'avevo detto" e "oddio il Mac è vulnerabile come Windows", consiglio la lettura delle analisi del virus sul forum di Ambrosia Software (questa e questa) e sui siti dei produttori di antivirus Sophos, McAfee, F-Secure. e MacRumors. C'è anche una bella discussione su Slashdot.

Il virus, denominato OSX/Leap.A o OSX/Oomp (riferimento CME-4), si propaga soltanto tramite iChat e arriva sotto forma di un file compresso di nome latestpics.tgz, che si spaccia per una serie di schermate di Leopard, la prossima versione di Mac OS X (che espediente psicologico da sfigati: soltanto un Mac-maniaco terminale potrebbe essere allettato da una cosa del genere... almeno i virus per Windows di solito promettono donne nude).

L'utente-vittima deve scompattare questo file, ottenendo un ulteriore file che ha l'icona di un'immagine (come mostrato qui sopra in una schermata tratta dal sito di McAfee), ma è in realtà un file eseguibile per Mac OS X (versione per processore PPC). L'utente deve poi aprire il file scompattato, che per essere eseguito solitamente chiede la password di Admin.

L'eventuale infezione è immediatamente rilevabile, perché quando viene eseguito il file ostile si apre una finestra di terminale.

In estrema sintesi, si tratta di un virus che è ben lontano dall'eseguirsi spontaneamente non appena si visita una pagina Web o con un doppio clic su un allegato o simili, come accade spesso con Windows.

Ovviamente, se un utente è tanto sconsiderato da dare la propria password senza esitazioni anche se gliela chiede un'immagine, non c'è sistema operativo che tenga: l'anello debole è l'utente, e c'è un limite a quanto un sistema operativo può avvisare l'utente di possibili rischi e proteggerlo contro la sua imprudenza.

È comunque il caso di non essere inutilmente compiacenti ("tanto ho un Mac, cosa vuoi che mi succeda") e di mantenere le sane abitudini di prudenza informatica valide per qualsiasi sistema operativo, Linux compreso: non lavorare con privilegi di amministratore, ma creare un utente non privilegiato e usarlo; avere sempre un occhio di cautela per gli allegati inattesi; non installare qualsiasi cosa capiti a tiro. Volendo, si potrebbe anche investire in un antivirus per Mac.

Qualcuno, fra l'altro, ricorderà un altro "primo virus per Mac OS X", per cui questo in realtà non è propriamente il primo virus per Mac OS X in senso lato, ma il primo worm, ossia il primo programma ostile in grado di autopropagarsi.

27 commenti:

Anonimo ha detto...

grande paolo! non dà il tempo agli utenti di commentare la notizia vecchia che già ne rilascia una nuova!
un virus per mac??? non l'avrei davvero mai detto!

Anonimo ha detto...

Bazzeccole!

Anonimo ha detto...

Fantamarketing...

Se Mac OS X venisse reso disponibile per piattaforme x86 (intendo per comunissimi pc), quanta quota di mercato prenderebbe a Microsoft Windows?

Anonimo ha detto...

Sorpresa, sorpresa!
Escludendo i rari worm che usano tecniche di buffer overflow, salta fuori che anche su Mac, come su qualunque sistema operativo, il segreto della sicurezza consiste sostanzialmente nel NON accedere come amministratore e nel NON aprire allegati eseguibili.
La presunta superiorità del Mac in termini di sicurezza secondo me è dovuta quasi solo alla scarsa quota di mercato e quindi alla poca appetibilità della piattaforma come bersaglio.
Quando Mac e Linux avranno grande successo sicuramente qualcuno comincerà a sfruttarne tutte le vulnerabilità - vedi ad esempio i vari "defacement" di siti web su server Linux/Apache.

Paolo Attivissimo ha detto...

Quando Mac e Linux avranno grande successo sicuramente qualcuno comincerà a sfruttarne tutte le vulnerabilità - vedi ad esempio i vari "defacement" di siti web su server Linux/Apache.

Hai scelto un esempio poco felice :-) Dai un'occhiata alle statistiche di defacement IIS rispetto ad Apache, e tieni presente che oltre il 60% dei siti del mondo usa Apache (su vari sistemi operativi).

Anonimo ha detto...

Hai scelto un esempio poco felice :-)

Hai ragione, Paolo. Non dovevo spostare l'argomento dalla sicurezza dell'utente alla sicurezza dei server dove gli attacchi sono sempre più spesso a livello di applicazione/web server/database piuttosto che direttamente all'OS.

(vedi in proposito un interesante articolo su ZDNet: http://blogs.zdnet.com/Ou/?p=77)

Direi che il tuo post originale contiene già tutto quello che serve per informare l'utente (e credo di essere caduto nella trappola del "te l'avevo detto"...)

Anonimo ha detto...

posso fare una domanda su MAC OS X ma off topic? vorrei sapere se il prossimo sistema operativo MAC (appunto MAC OS X) sarà conforme a Palladium oppure no! Grazie a tutti!

p.s. Paolo, bellissimo gatto! uguale al mio!

Paolo Attivissimo ha detto...

Chiarisco prima di tutto che "Mac OS X" non è il nome del prossimo sistema operativo Apple: è il nome di quello attuale. OS X ha versioni successive che si chiamano sempre "OS X" ma sono identificate da un codice numerico (10.3, 10.4, 10.5, eccetera). Attualmente la versione corrente è la 10.4.5.

Altro chiarimento: quello noto comunemente come "Palladium" non esiste più con quel nome, ma è diventato "Trusted Computing" o "NGSCB" e ha cambiato caratteristiche. Il tema è troppo lungo per coprirlo con un commento, ma in estrema sintesi c'è senz'altro una predisposizione "tipo Palladium" nei nuovi Apple con processore Intel, come c'è in vari PC Windows di marca. Poi sta ad Apple o Microsoft decidere quanto attivare questa predisposizione. Spero di avere l'occasione di parlarne più in dettaglio prossimamente.

Anonimo ha detto...

grazie 1000 dei chiarimenti. ora ho capito!

Anonimo ha detto...

Chissà perché, ma questo virus mi ricorda quell'email schezosa che girava del tipo: "ciao son un virus albanese, siccome siamo troppo poveri per scrivere dei programmi ti preghiamo di fare tutto da solo e cancellare alcuni file a caso del tuo computer.

Francesco

Anonimo ha detto...

Su linux però non c'è "pericolo Trusted Computing" vero?

Anonimo ha detto...

Purtroppo su linux il pericolo cè e non solo o si adegua e resta fuori.
noi utenti dobbiamo boicottare l'hadrware controllato da remoto.
Ciao

Anonimo ha detto...

linux da molti è definito l'"anti trusted computing" per eccellenza! so anche che sui nouvi hardware TC linux non dovrebbe prorpio girare. solo un software APPROVATO conme Windows Vista.
almeno questo è quanto so io!

Paolo Attivissimo ha detto...

Anche Linux può essere modificato per conformarsi alle specifiche Trusted Computing. E' però facoltà dell'utente scegliere la versione/distribuzione di Linux che preferisce, con o senza TC. Per ora, che io sappia, nessun Linux supporta TC.

E' prevedibile, tuttavia, che se il TC prende piede, diventino sempre meno i servizi accessibili con un computer/sistema operativo non-TC. Per questo è importante opporsi al TC se si tratta di un TC che toglie all'utente il controllo del proprio computer e dei propri dati.

Anonimo ha detto...

per ora il sito www.no1984.org continua la sua campagna contro il TC. speriamo che linux non passerà al "lato oscuro della forza"! hehe!

Anonimo ha detto...

Un virus che chiede la password di admin è alla portata di qualsiasi babbeo e anche dire che questo è un virus. Senza offesa, mentre perdiamo tempo con sta stupidaggine, ci sono dei seri problemi di sicurezza da la fuori.

Il vero problema qui è lo scontro tra le idee di base di un sistema a click e un sistema in cui si fa ls -l prima di agire.
Se il Finder mettesse l'attributo x solo alle applicazioni riconosciute da Mac OS X come eseguibile, questo virus non andrebbe più bene per fare gli scherzi.

Anonimo ha detto...

"Qualcuno, fra l'altro, ricorderà un altro "primo virus per Mac OS X", per cui questo in realtà non è propriamente il primo virus..."
A giudicare dalle descrizioni, questo Leap.A sembra in effetti un virus che usa una variante della tecnica primitiva del "companion".
Amphimix, dalla scheda di Sophos pare un puro Trojan.
Quel secondo malware per Mac OS X, Inqtana, invece mi sembra più interessante: la teoria di un infettore lento che usa solo Bluetooth non è stupida. Comunque mi sembra molto improbabile che qualcuno se lo becchi davvero, x fortuna (o per buon design).

Anonimo ha detto...

Visto che è stato toccato questo tema, vorrei fare alcune brevi considerazioni sulla questione Linux/TC. Cercherò di essere il più sintetico possibile, visto che, come ha detto giustamente Paolo, questo è un tema che non è certo possibile sviscerare nella sua interezza (e complessità) qui.

Io sono uno di quelli (dei tanti) che pensava che Linux fosse immune dal pericolo di essere invaso da questa aberrante tecnologia, che, lentamente ma inesorabilmente, sta invece purtroppo prendendo piede. Da quello che si trova in rete, in particolare sui molti siti internet che trattano questi temi, si evince che Linux dovrà *obbligatoriamente* implementare questo tipo di tecnologia.

In primo luogo per il semplice fatto che il cosidetto chip Fritz è già presente nei processori di moltissimi pc già in vendita sugli scaffali dei negozi di informatica. Brevemente, questo chip contiene al suo interno una chiave RSA crittografata a 2048 bit che identifica in modo univoco il pc ospitante, ed è fisicamente impossibile rimuoverla. Ecco la fregatura: la tecnologia del TC agisce a livello hardware, non software (che sarebbe facilmente aggirabile). Non occorre essere degli ermeneuti per capire le implicazioni che ciò comporta.

Per rendersi conto che il TC è già (seppure ancora in modo latente) tra noi, e attende solo di essere "svegliato" per essere effettivamente operativo, è sufficiente stamparsi su un a4 la pagina di no1984.org contenente l'elenco dei componenti hardware che già implementano questa tecnologia, e farsi un giretto in qualche centro commerciale o negozio di informatica.

In secondo luogo Linux dovrà adeguarsi a questa tecnologia per non rimanere definitivamente tagliato fuori dal mondo. E questo per il semplice fatto che i contenuti multimediali e i software "protetti" dalle nuove tecnologia DRM basate sul Trusted Computing non gli sarebbero accessibili senza un adeguato supporto al TC. Prova tangibile di questa cosa è che a partire dalla versione 2.6.12, il kernel di Linux ha già disponibili di default i driver per pilotare i chip Fritz inseriti all'interno dei nuovi processori Intel e AMD.

L'aspetto che inquieta di più di tutta questa faccenda è che il TC sta prendendo piede nella quasi generale indifferenza. Eccetto infatti gli "addetti ai lavori", che hanno capito la gravità della cosa, la stragrande maggioranza della massa degli utenti addirittura ignora la questione. I signori fautori e promotori del TC (Microsoft, Intel, ecc...) trovano purtroppo terreno fertile in questa generale indifferenza, terreno su cui coltivare tranquillamente i loro progetti di "computer fidato".






Occorre insomma

Anonimo ha detto...

Ops... scusate. Ho lasciato un "occorre insomma" di troppo.

Gacattos ha detto...

Un "virus" che per infettare ha bisogno della password dell'Amministratore del computer è evidentemente una scemenza.
La stragrande maggioranza degli utenti non leggono il blog di Attivissimo, in compenso molti leggeranno questo:
http://www.ansa.it/main/notizie/fdg/200602171920231593/200602171920231593.html
e si faranno l'idea sbagliata che:
"Addio bel Paradiso, anche la Mela è bacata....."
Mi chiedo se la famosa prova del chiodo una volta in voga nell'Arma,
non sia per caso diventata una peculiaretà ad appannaggio dei giornalisti.

Cigno ha detto...

Ieri sono passato da un paradisiaco negozio Apple per tirare su qualche opuscolo. E trovo che nei powerbook è installato MS Office, beh... divertente, no?

Comunque credo un tentativo di switch lo farò, se mai trovassi un iBook G3 usato :))

Anonimo ha detto...

O.T.: Zio Bill ha avuto una nuova trovata per sbaragliare la concorrenza...Microsoft Office 2007 multiplo! Dicono che è più semplice, invece leggendo l'articolo (reperibile su http://liberoblog.libero.it/hi-tech/bl2672.phtml)a me sembra ancora più complicato di quanto già non fosse Microsoft Office 2003, che mi faceva rimpiangere la versione del 2000. Ma forse dipende dal fatto che non sono un'esperta e quindi nn son in grado di apprezzare le nuove funzionalità del prodotto. Gloria

Anonimo ha detto...

Beh basta mollare del tutto microsoft office e passare all'ottimo e gratuito OpenOffice.org ;)

Anonimo ha detto...

Ciao Gloria,

non so se il nuovo office sarà più o meno complicato del precedente per il semplice fatto che ho smesso di usarlo già da un paio d'anni.

Da quello che ho letto in giro in questi giorni, le novità "positive" del nuovo office di zio Bill sono essenzialmente due: una è la possibilità di esportare in modo nativo i file creati in formato .pdf. Per la verità questa operazione era (ed è) possibile anche col vecchio, ma bisognava per fare questo installare un programma supplementare.

La seconda novità lieta è che il nuovo office pare che abbracci il formato ODF (Open Documents Format). Andando un pò più a fondo alla questione, però, si scopre che questa opzione è possibile solo per i nuovi documenti creati. E solo col nuovo office. A dir la verità anche chi continua a usare la vecchia versione ha la possibilità di salvare i file in ODF, ma, sempre che non abbia capito male, per far ciò deve scaricare e installare una patch apposita.

In ogni caso la questione ODF è secondo me un'operazione di facciata, dettata anche dal fatto che molte amministrazioni pubbliche si stanno spostando verso i formati aperti per la loro documentazione.
E anche perché per leggere e modificare tutta la marea di documenti generati con le vecchie versioni chiuse di office è comunque d'obbligo usare MsOffice.
Insomma, comunque vada, MsOffice rimarrà lo standard ancora per parecchi anni. Purtroppo.

Anonimo ha detto...

I virus nn faranno paura ai mac,ma i cd audio con sistemi anticopia si.
nessuno si ricorda del famoso cd di Celine Dion che bloccava del tutto i mac?
la protezione mi pare fosse sempre della Sony

Anonimo ha detto...

luca accomazzi (www.accomazzi.net) ha trovato un vaccino:

Questo coso non è pericoloso, visto che funziona solo sotto Tiger e si diffonde solo se chi si è infettato lanciando l'applicazione scaricata come un cretino ha iChat aperto e diversi corrispondenti iChat in rete locale (il worm non riesce a diffondersi da solo via Internet). Però esiste una fragilità del sistema operativo, che Apple certamente risolverà in un imminente Security Update. Nel frattempo chi vuole proteggersi può eseguire questi quattro comandi a Terminale:
sudo chown root Library/InputManagers/
sudo chmod 0755 Library/InputManagers/
sudo chown root /Library/InputManagers/
sudo chmod 0755 /Library/InputManagers/

In sostanza, la cartella dove OS X va a pescare i moduli di gestione tastiere, e che è universalmente scrivibile in 10.4.0 - 10.4.5) con questi quattro comandi viene riservata al sistema. Il trojan o altri programmi legittimi che provassero a metterci qualcosa (per esempio "Smart Crash Reports"), dopo la modifica devono chiedere la password di amministratore.

Dopo aver impartito il primo comando e prima che venga eseguito vi viene chiesta la password di Amministratore: dunque se non la digitate la protezione non avviene. La password viene conservata in memoria per cinque minuti, quindi gli altri tre comandi successivi non la richiedono.

se non dovesse trovare le cartelle necessarie, vuol dire che non è stata ancora eseguita nessuna applicazione che ne abbia bisogno e le abbia quindi create.
Se vuoi creare tu stesso le cartelle, in modo da proteggerle immediatamente, puoi farlo con questi due comandi, che vanno messi PRIMA dei quattro già comunicati

sudo mkdir /Library/InputManagers/
mkdir Library/InputManagers/


giulio

Anonimo ha detto...

Dopo il virus ora è stata scoperta pure una gravissima falla (secondo secunia).

http://webnews.html.it/news/3341.htm