Cerca nel blog

2010/04/23

Malware per Mac

Attenzione al virus spione per Mac


Questo articolo vi arriva grazie alle gentili donazioni di "cveronic" e "albertopier*".

Il mito che non esistano virus per il mondo Mac subisce un altro scossone: la società di sicurezza Intego segnala che è in circolazione una nuova variante di un programma ostile per Mac OS X comparso per la prima volta nel 2004.

OSX/HellRTS.D, questo il nome della simpatica creatura informatica, apre una backdoor che permette agli aggressori di prendere il controllo del Mac infetto. Funziona sia sui Mac basati su processore Intel (quelli recenti), sia su quelli con processore PowerPC. Fra le altre cose, si crea un proprio server dentro la macchina infetta, è in grado di mandare mail autonomamente, contattare un server remoto, fornire accesso al computer infetto e permettere agli aggressori di vedere cosa c'è sul monitor del Mac appestato.

Per infettarsi con OSX/HellRTS.D occorre installarlo intenzionalmente: cosa più facile di quel che potrebbe sembrare, visto che basta ricorrere al classico espediente del cavallo di Troia. Si immette il programma ostile in una versione pirata di qualche programma molto desiderato (Photoshop, per esempio), si mette la versione pirata su Internet e si aspetta che l'utente scroccone la scarichi e la installi.

Gli antivirus per Mac, se aggiornati, riconoscono questa minaccia, non si ha notizia di infezioni su vasta scala e il numero di minacce per il mondo Windows è enormemente superiore, ma questo non vuol dire che si possa abbassare disinvoltamente la guardia se si usa un Mac, come credono in molti: si è meno esposti, ma non immuni a tutto.

In particolare vale la pena di disattivare l'apertura automatica dei file ritenuti sicuri dal browser Safari, che includono i file .dmg usati nel mondo Mac per distribuire e installare programmi. Si va in Safari, si sceglie il menu omonimo, la voce Preferenze e la scheda Generale, e si disattiva l'opzione "Apri doc. 'sicuri' dopo il download". L'importante è ricordare che l'invulnerabilità dei Mac è un mito sul quale non è opportuno adagiarsi.

43 commenti:

Riccardo ha detto...

Il mito della invulnerabilità dei Mac era giustificato dal fatto che gli utenti dei computer della mela erno in pochi. Oggi il numero continua a crscere (stando ai dati forniti da Apple) e i malintenzionati che "sparano nel mucchio" potrebbero essere sempre più interessati a diffondere Virus, Spyware ecc. per OS X.

Il numero delle minacce per Mac rispetto a quelle di Win è ridicolo ma è meglio non abbassare la guardia. Io personalmente uso ClamXav piccolo, gratuito e consuma poche risorse di sistema. Tra l'altro è distribuito dalla stessa Apple con OS X Server.

Se avete altri consigli e/o utilizzate altri programmi fatemelo sapere.

lucac81 ha detto...

Io continuo ad usare l'antivirus migliore... il cervello, i vari mcafee norton e soci li lascio ai poveri utenti windows... che tanto le infezioni le pigliano comunque :-)

Francesco ha detto...

Che tu sappia ClamAv con l'ultimo aggiornamento è in grado di riconoscere questo virus?

Riccardo ha detto...

@ Luca81: Nemmeno io sul Mac ho mai avuto problemi... però non si sa mai: antivirus sempre attivo e frequente aggiornamento del software (anche questo è usare il cervello).

@ Francesco: se non è attualmente in grado lo sarà tra breve. Il virus (rectius spyware), fra l'altro, non sembra avere grossa diffusione.

giulio ha detto...

Paolo, a me risulta che il virus per essere installato necessita comunque di una password di amministratore. Ovvero, parte l'installer e quindi parte la richiesta (ovviamente mascherata da processo legittimo) di una password di amministratore. Confermi?

.g.

lux ha detto...

Sì, occorre una password di amministrazione.

Federico ha detto...

Paolo, a me risulta che il virus per essere installato necessita comunque di una password di amministratore

anche su Windows per beccarti un trojan devi cliccare su "Conferma" (oppure inserire la password, a seconda di come è configurato l'UAC) tuttavia ho notato che gli utenti sono molto propensi a cliccare su "Conferma" o ad inserire le credenziali comunque.

D'altra parte stai installando un programma... anche i programmi puliti e legittimi ti chiedono di inserire la password... come fai a capire che questa volta sta accadendo qualche cosa di diverso?

oscar ha detto...

riccardo
Il mito della invulnerabilità dei Mac era giustificato dal fatto che gli utenti dei computer della mela erno in pochi. Oggi il numero continua a crscere (stando ai dati forniti da Apple) e i malintenzionati che "sparano nel mucchio" potrebbero essere sempre più interessati a diffondere Virus, Spyware ecc. per OS X.

dio no ancora con questa storia vi prego no :) Non c'entra nulla la quota di mercato con la proliferazione dei virus. o se c'entra c'entra in piccolissima parte.
Leggere qui: http://bit.ly/cp5cf7

anch'io come lucac81 uso il suo tipo di av. Basta e avanza il buon firewall di sistema. In anni mai avuto UN singolo problema che sia uno.

Mousse ha detto...

Io lavoro dove ci sono per la maggior parte Macintosh, e nessuno di essi ha installato un antivirus. Questo ovviamente perchè "tanto i virus su Mac non ci sono"; giustamente Paolo fa notare che gli antivirus prevengono queste minacce, ma quanti utenti Mac installano un antivirus?

Quello che mi fa impressione nel caso specifico è che questo virus riesca a farla in barba alle sicurezze del sistema operativo non solo ottenendo privilegi di root ma soprattutto riuscendo ad aprire delle porte di rete (in barba al firewall??).

@riccardo: ClamAV si piazza regolarmente agli ultimi posti nei confronti tra pacchetti antivirus per virus ITW rilevati, quindi non ci dormirei sonni particolarmente tranquilli. Soprattutto a quanto mi risulta non ha un modulo di scansione real-time ma solo di controllo dei file. Purtroppo non conosco altri antivirus simili, e anche con Linux la situazione non è più rosea. Certo, è meglio che niente, ma la strategia migliore è quella di fare attenzione.

Federico ha detto...

Leggere qui: http://bit.ly/cp5cf7

di certo questo post non è stato scritto da un tecnico, ma da un religioso :-)

Turz ha detto...

@lucac81:
Io continuo ad usare l'antivirus migliore... il cervello, i vari mcafee norton e soci li lascio ai poveri utenti windows... che tanto le infezioni le pigliano comunque :-)

OK per la prima parte (l'antivirus migliore è il cervello), ma non per l'ultima (con Windows è più facile prendere virus, ma se si sta attenti non si prendono: da quando esiste il Disinformatico non ho mai preso un virus sulle macchine Windows che mio malgrado ho dovuto usare).

Luca ha detto...

Leggere qui: http://bit.ly/cp5cf7

:-D Una fonte imparziale insomma :-D

yos ha detto...

da quando esiste il Disinformatico non ho mai preso un virus

Solo perché non ti applichi abbastanza :)

Turz ha detto...

@yos:
Solo perché non ti applichi abbastanza :)

Non uso Explorer 6 (nemmeno al lavoro, in barba alle policy aziendali).
Non uso Outlook (nemmeno al lavoro, in barba alle policy aziendali; sul PC della mia dolce metà si usa addirittura solo webmail).
Non apro gli allegati inattesi.
Non clicco "OK" quando mi appare la finestra "Considera sempre affidabili i contenuti di questo autore".
Ho persino installato SumatraPDF per evitare i virus tramite PDF eseguibili.
Non scarico software pirata, tanto c'è sempre l'equivalente freeware.

Turz ha detto...

Per il resto mi applico anche troppo.

yos ha detto...

L'ho detto che non ti applichi abbastanza :)

Da noi solo outlook e solo io in tutto l'ufficio ho il diritto e l'onore ad utilizzare IE 6 :|

lindoferretti ha detto...

Solo gli idioti prendono virus, utenti mac o windows che siano. Solo che OSX fa di tutto per impedire che entrino senza la precisa intenzionalità dell'utente, mentre Windows fa esattamente il contrario : apre le porte e apparecchia pure la tavola.

oscar ha detto...

federico
in quell'articolo si riportano dati. cifre.

poi capisco che chiunque riporti delle cifre oggettive sia un fanatico. Cioè capisco che quando non si hanno argomenti si tiri il fatto dei "fanboy" e della "religione" e via dicendo. Argomentazioni profonde. Ho apprezzato in particolare il tuo smontare pezzo per pezzo l'articolo. Ammirevole :)

oscar ha detto...

Luca
ma tu guardi a dove sono scritte le cose o guardi al contenuto? guardi alla forma? quindi la sostanza non conta. capito.

io non guardo chi è che dice le cose o dove sono scritte. guardo e verifico se ciò che è scritto è vero. Sai...si dice oggettivizzare. Ma non dirlo a nessuno. Che resti un segreto tra me e te ;)

Federico ha detto...

oscar
in quell'articolo si riportano dati. cifre.

tante parole inutili per dire: unix è sicuro, anche se non so bene il perché, ma così dicono tutti perciò deve essere vero, di conseguenza anche il mac deve essere sicuro... :-D

Piccolo esperimento per tutti:
1. prendiamo un Windows, un Linux ed un Mac;
2. disattiviamo il firewall;
3. impostiamo una password banale per l'amministratore/root.

In questo modo disponiamo di tre sistemi diversi, tutti con la stessa identica vulnerabilità.

Scegliamo una bella rete aziendale, grossa ma non troppo protetta, e li colleghiamo. Chi sarà il primo a cadere?

Ovviamente Windows, che dopo 10 secondi crollerà ingloriosamente causa Conficker!!! Gli altri sistemi potrebbero restare in piedi per anni, fieri e funzionali, solidi come una roccia!
Ma ma... ma non avevano la stessa vulnerabilità anche loro?

La morale è che a parità di problemi di sicurezza, Windows ne esce sempre male, gli altri sistemi ne escono sempre bene, ma... probabilmente a torto :-)

Paolo Attivissimo ha detto...

Paolo, a me risulta che il virus per essere installato necessita comunque di una password di amministratore. Ovvero, parte l'installer e quindi parte la richiesta (ovviamente mascherata da processo legittimo) di una password di amministratore. Confermi?

Dovrebbe essere così. Il problema è che se il malware è annidato dentro un trojan, l'utente darà la password. Se l'utente s'è scaricato una copia infetta di Photoshop, quando il programma d'installazione gli chiederà la password lui la darà volentieri :-)

Domenico_T ha detto...
Questo commento è stato eliminato dall'autore.
Domenico_T ha detto...

Ma vuoi vedere che sono l'unico utente Windows sul pianeta a non aver MAI preso un virus?

Mousse ha detto...

@Domenico_T: siamo in due.

Certo, la sicurezza è assolutamente una chimera, specie se l'utente "si fida":
mi ricordo di essermi collegato su una rete di un piccolo studio grafico (su Fastweb quindi, stando all'admin "il firewall non serve, rallenta e basta") e di aver passato i successivi 15 minuti a cercare come si disattivasse l'allarme audio di Avast..

Aspettate che gli script kiddie mettano le mani su qualche toolkit per creare malware per mac e poi ridiamo :D

Elena ``of Valhalla'' ha detto...

Unix, linux e macosx sono piu` sicuri di windows, ma in generale vulnerabili ad attacchi che fanno grosso uso di ingegneria sociale, aggirando le protezioni di sistema.

C'e` da dire che tra i tre osx e` il piu` a rischio, per il semplice motivo che di solito gli altri unix sono gestiti da sysadmin che sanno quello che fanno e gli utenti linux trovano tutti i programmi nel repository, quindi da una fonte sicura, mentre gli utenti mac sono piu` propensi a scaricare software piratato e fonte di infezione.

Probabilmente se si diffondessero maggiormente programmi da utente finale proprietari e a pagamento per linux ci sarebbe lo stesso problema.

Mousse ha detto...

Ma poi... mi spiegate perchè ogni volta che Paolo sengala un malware nel Mac scatta la litania "ma windows ne ha di più" ?
Su Windows bene o male tutti hanno un antivirus, ma questa percentuale scende drasticamente sui Mac, rendendo di fatto le "infezioni" potenzialmente più pericolose.

Mousse ha detto...

@Elena: sono d'accordo con te ma anche se un programma è open source (e non so se quelli nei repo sono così ben controllati) quanti utenti hanno li tempo e le conoscenze per andare a guardare il sorgente e capire se fa qualcosa di pericoloso? Questa è una cosa fattibile in linea teorica, ma all'atto pratico ho dei grossi dubbi che ci sia tanta gente che lo fa.. Anzi mi sa proprio che a farlo sono pochissimi.

Diciamo che nel caso specifico se non si usassero programmi pirata e/o di dubbia provenienza si ridurrebbero, e di molto, i rischi.

giulio ha detto...

@ Paolo. e allora se lo merita, dal mio punto di vista.
Dato che una normale Installazione di un qualunque programma che NON tocchi il s.o. NON chiede la passowrd da amministratore, a chiunque dia la propria pwd in relazione ad un installer di un qualunque cosa scaricato dal web la cui proveninenza non sia sicura non basterebbe alcun tipo di AV. come se una bella donna (o uomo, a seconda delle inclinazioni di ciascuno) mai visto prima ti si avvicinasse e dicesse "prestami le chiavi di casa, che i metto comodo e ti aspetto…" A chi accondiscendesse alla seducente richiesta non basterebbe nessun antifurto…

Laura ha detto...

@ Domenico_T e Mousse: allora siamo in 3. E io non sono un'informatica di mestiere, solo, uso un pochino la testa.
Volete ridere? Collega a cui hanno regalato un portatile per natale. Credo, ma non giuro: un MacBook. PERCHE' E' BELLO E FA ANCHE ARREDAMENTO. Contate che lei sistematicamente litiga con XP, quando è stata obbligata a usare office 2003 ha piantato giù una piva che nemmeno un suonatore di cornamusa...
Bene, da Natale a STAMATTINA (4 mesi secchi) ha formattato 4 o 5 volte. Piena di virus da fare schifo.
Ora, io uso Windows e Linux per comodità. Uso il pc da 10 anni, mai avuto un virus, e spesso l'antivirus non lo usavo -sul portatile da cui scrivo non ce l'h proprio-, Mac sarà bello, sicuro & compagnia cantante...ma se l'utilizzatore NON ha testa...

oscar ha detto...

Premesso che credo poco a quello che Laura dice, non foss'altro per la genericità delle sue affermazioni...premesso questo...

Mousse
per la verità il primo commento, al quale rispondevo, non era sul modello di quello da te descritto. anzi. Infatti io rispondevo a quello. Mica me ne sono esordito dicendo "eh ma per win ce ne sono tanti"

giulio ha detto...

@ Mousse

"Aspettate che gli script kiddie mettano le mani su qualche toolkit per creare malware per mac e poi ridiamo :D"

Aspettiamo da circa 5 anni… e credo continueremo a lungo.
forse perché non esistono questi toolkit?


.g.

Laura ha detto...

@ Oscar: grazie per avermi dato tranquillamente della bugiarda.
C'è chi non è del mestiere e non sa usare bene il pc, quindi è generica in quel che dice (l'ho specificato: non sono informatica di mestiere, per me un Mac è uguale a un altro). C'è invece chi non sa usare il cervello. Ma questo caso non mi riguarda.

Riccardo ha detto...

@Mousse
Grazie per la dritta da oggi userò un diverso AV rispetto a ClamXav.

Elena ``of Valhalla'' ha detto...

@mousse: in questo caso il vantaggio dei programmi open source è semplicemente il fatto di poter essere inseriti nei repository, e quindi scaricabili da fonte sicura, anziché dover essere acquistati, con il rischio che qualcuno li scarichi piratati con troyan allegato.
L'utente non ha bisogno di controllare il codice: se riceve il programma da una fonte sicura come il repository sa di potersi fidare, perché altri hanno controllato per lui.

Per quello che riguarda i programmi nei repository delle distribuzioni principali sì, si puo` stare sicuri che sono stati controllati e non contengono codice evidentemente malevolo, ed è difficile anche che contengano codice offuscato che potrebbe esserlo; potrebbero ovviamente esserci dei bug, come in tutto il software, ma quella è una questione diversa.

oscar ha detto...

Non ti ho dato della bugiarda ma semplicemente forse non te ne intendi molto. Visti i termini utilizzati.

E poi sai non volevo essere bugiardo e dirti che credevo ciecamente a quello che hai scritto. La prossima volta mentirò okay.

Laura ha detto...

@ Oscar: scusami, e dico davvero, non voglio essere ironica, per il tono con cui ti ho risposto. Ma messa giù come l'hai scritta, sembrava ch volessi dire "anvedi 'sta fessa che vuole prenderci in giro tutti" (mi si scusi il tentativo di romanesco mal riuscito, ma sono milanese...e il milanese non rende altrettanto). Da qui la mia risposta.
Il primo Mac che ho visto da vicino è proprio quello della mia collega, uso Windows perchè è quello più diffuso, mi sono incaponita a imparare a usare Linux su un vecchio portatile. Tutto qui, però vedi, usando un minimo di testa di virus non ne ho mai beccati (uno, una volta sola, secoli fa). I virus per mac saranno poco diffusi, ma se scarichi tutto il pattume di questo mondo sul tuo computer, è più che normale che un virus prima o poi te lo becchi. Se poi te ne strafreghi e continui a scaricare pattume...il computer rischia la morte per suicidio.
Da natale ad oggi è stato in assistenza 5 volte. E siamo solo alla fine di aprile...il problema è che Cristina non ha capito che il problema è lei, che da buona credulona scarica qualsiasi cosa (ma davvero di tutto..si è trovata anche film porno, mentre credeva di aver scaricato Winnie Pooh per i figli) senza criterio, ma è convinta che sia SOLO COLPA del computer. Questa mattina sta lavorando sul mio pc in ufficio, e temo quello che troverò domani quando tornerò dalla malattia. Perchè? Le hanno dato il pc nuovo (Xp con Office 2003) a febbraio. Venerdì non riconosceva più le password, si sono cancellati files di sistema, dati volatilizzati. Sabato mattina è venuto il tecnico in ufficio: nel computer ha qualcosa come 20 virus diversi, che grazie a Dio non è riuscita a passare in rete (lavora quasi esclusivamente in locale). Questo nonostante abbia un buon antivirus, o almeno me l'hanno spacciato come tale, McAfee.

Turz ha detto...

@Domenico_T:
Ma vuoi vedere che sono l'unico utente Windows sul pianeta a non aver MAI preso un virus?

No, non sei l'unico, sei solo in minoranza. E comunque sei la dimostrazione che il firewall più sicuro si trova tra la sedia e la tastiera.

@Elena ``of Valhalla'':
Unix, linux e macosx sono piu` sicuri di windows, ma in generale vulnerabili ad attacchi che fanno grosso uso di ingegneria sociale, aggirando le protezioni di sistema.

Non esiste al mondo nulla che sia al 100% a prova di idiota. Assolutamente nulla.

oscar ha detto...

laura
il punto è che virus veri e propri per mac non ce ne sono. Ci sono malware semmai, ma in ogni caso se anche una si scarica l'inscaricabile armeggiando con file infettati al mac di base non fanno nulla. C'è sempre un procedimento che l'utente deve attivare.
Ovviamente, e questo penso sia il caso della tua amica, se poi quel mac infettato, ma tranquillo, lo piazzi in una rete in cui ci sono dei pc con sopra win allora chiaramente il discorso cambia.
Io ho un MacBook da 3 anni e pur aggiornano due volte l'OS non ho mai formattato, cosa che con win mi accadeva di dover fare ogni 6 mesi.
Allora o quando usavo il PC ero uno scellerato e ora sono un angelo, oppure qualcosa di meglio il Mac la ha. Indipendentemente da virus o malware. Poi certamente il primo virus è sempre l'utente. Questo certamente. E certamente OS X come detto da Paolo non è totalmente invulnerabile, anche se di gran lunga più stabile e sicuro.

Laura ha detto...

@ oscar: ecco...qua esce tutta la mia incompetenza! Per me virus, malware, trojan & C sono la stessa roba! Nel senso...so che sono cose diverse, e bene o male la differenza la conosco, ma li classifico tutti sotto l'etichetta "robaccia cattiva".
Se per "processo da attivare" intendi clikkare su OK quando appare una finestrella che può essere di qualsiasi tipo, be', sì. Lo fa. Indiscriminatamente.
Hai presente quei programmi che simulano di essere un antivirus e ti chiedono di fare la scansione online? Bene, pur avendole spiegato millemila volte che su pc in ufficio abbiamo McAfee e che quindi qualsiasi altro antivirus non c'entra una cippa...lei vede scritto antivirus e clikka pervicacemente su ogni messaggio che appare. Risultato: hard disk fritto.
Guarda, le ho ritirato il computer dall'assistenza, visto che è più vicino a casa mia che sua. Il tecnico si è messo le mani nei capelli...che pure è calvo.
E' senza speranza...giuro, è la barzelletta dei 2 sistemisti che si occupano del mio ufficio.

Federico ha detto...

Attenzione: virus non ne esistono più nemmeno su Windows.
Esistevano su DOS, ma con Windows sono spariti.

In realtà Windows 9x (a differenza della famiglia NT) non offriva alcuna protezione aggiuntiva rispetto al DOS: semplicemente scrivere virus per Windows, anche se teoricamente possibile, era troppo complesso.

Per cui sono nati i macro-virus, quelli che attaccavano i documenti di Word e di Excel. Oggi, pur essendo ancora teoricamente possibili sia su Office che su Open Office, sono quasi spariti perché gli antivirus sono molto efficaci a risolvere questo tipo di problemi. Ed oggi, a differenza di 10 anni fa, un antivirus su Windows ce l'hanno quasi tutti.

Sempre una decina di anni fa, uno strumento di infezione molto utilizzato era la posta elettronica. Ma non dimentichiamo che al tempo le caselle di posta elettronica, anche quelle dei grossi provider, non disponevano di alcuna protezione. E che le webmail non erano ancora così diffuse come oggi.

Oggi ho verificato le statistiche dell'antivirus della posta elettronica aziendale: spam ne arriva a fiumi, virus/malware/worm... zero.
Se un giorno decidessi di disattivare l'antivirus della mail sono certo che non se ne accorgerebbe nessuno, forse per anni. Ovviamente se tutto il resto del mondo non decidesse di fare altrettanto... altrimenti addio e-mail! :-)

Restano i worm. Su Windows ce ne sono pochi, ma sono molto cattivi.
Il vero problema è che un antivirus classico non può fare molto contro un worm.
Naturalmente, i worm esistono anche per le piattaforme Unix, anzi sono nati proprio su Unix! Erano già un bel problema, ben prima che Windows vedesse la luce.

E poi c'è tutto il resto del malware... generalmente si tratta di cavalli di troia, e questi per Windows non mancano mail. Ecco, come dice Elena, secondo me su Linux non esistono perché per installare software per Linux la gente lo va a cercare nei repository, e se è pur vero che in teoria in un repository qualche cosa di malvagio ci possa anche entrare, è molto improbabile che questo avvenga... magari avverrà, quindi bisogna fare attenzione, ma non avverrà presto.

Su Windows invece: o il software te lo devi cercare tu, e allora prima o poi finisci con l'installare qualche schifezza. Oppure ti scarichi da e-mule la versione craccata di qualcosa, e allora è abbastanza certo di fare danni!

Io insisto nel dire che non è tanto il sistema che ti protegge dal malware, quanto l'uso che se ne fa!

Smith ha detto...

Hey Thanks a lot sharing such a nice information which is very informative, Really a very good stuff.Internet is still far from a secure place, and viruses are still an annoying menace which we must fight on an everyday basis.

By the for more information on Professional training and Certification for Ethical Hacking check this link : http://www.eccouncil.org/certification/certified_ethical_hacker.aspx

Anonimo ha detto...

Smith è uno spammer.

theDRaKKaR ha detto...

Smith è uno spammer pappapero