Il recente malware Flashback per OS X ha suscitato un certo scalpore nella comunità Mac, e mentre ha influenzato solo una parte della base di installazione di OS X, ha comunque avuto persone che hanno effettivamente trovato il malware nei loro sistemi che scrivono in su CNET e sui forum di discussione Apple.
Per la maggior parte, le persone hanno trovato il malware sui loro sistemi avendo installato uno scanner antivirus o un firewall inverso come Little Snitch, e hanno ricevuto un avviso che il malware è stato trovato o un file di programma con un nome breve che inizia con un periodo di tentativi di contattare server remoti tramite nomi di dominio bizzarri come cuojshtbohnt.com e gangstaparadise.rr.nu.
Questi chiari tentativi hanno stimolato le indagini sul malware e hanno dimostrato che questa attività è la prima parte dell'attacco malware, in cui il malware ha infranto la sandbox Java e il programma sta tentando di scaricare il payload che successivamente verrà spostato sulle applicazioni locali modificando lanciare variabili d'ambiente all'interno del programma o nell'account dell'utente.
Finora il malware è stato descritto abbastanza bene e non è di natura virale, quindi per qualsiasi variante specifica viene installato in una singola posizione e viene eseguito da lì per influenzare il sistema. Di conseguenza, quando una variante è stata caratterizzata, dovresti essere in grado di rimuoverla dal tuo sistema seguendo le istruzioni dettagliate. Tuttavia, il malware può cambiare rapidamente (come dimostrato da Flashback) e poiché potrebbero apparire nuove varianti che cambieranno le modalità di attacco tentate, potrebbero esserci quelli che non sono in grado di determinare quale variante potrebbero aver incontrato e dubitare della loro capacità di cancellare manualmente il malware da i loro sistemi.
In queste situazioni, ci sono due approcci che puoi adottare. Il primo è ottenere uno scanner di malware affidabile come VirusBarrier, Sophos o ClamXav, installarlo e aggiornarlo, quindi fare in modo che il sistema esegua la scansione delle varianti note del malware. In questo modo è possibile almeno mettere in quarantena qualsiasi file malware trovato.
Questo è un approccio raccomandato; tuttavia, fa affidamento sulla definizione delle definizioni malware per il malware, che potrebbero essere in ritardo rispetto ai risultati iniziali del malware.
Il secondo approccio è quello di rinunciare al tentativo di gestire il malware ed eseguire una reinstallazione del sistema operativo. Anche se ciò farà sì che inizi da una lavagna pulita, sarà un po 'oneroso per alcune persone, soprattutto perché potresti non essere in grado di fidarti dei backup di Time Machine o dei cloni di sistema per essere liberi dal malware e quindi non essere in grado di ripristinare semplicemente il sistema da un backup.
Se riesci a ricordare un'istanza esatta di quando il tuo sistema è stato colpito dal malware, ad esempio quando hai installato un aggiornamento recente a Flash che potrebbe essere stato il malware o quando hai visto per la prima volta altri segnali di avviso relativi al malware, allora potrebbe essere in grado di reinstallare utilizzando il backup prima che si verificasse il problema; tuttavia, in molti casi potresti non essere in grado di identificare tali istanze in modo affidabile.
Se hai deciso che sarebbe meglio per te giocare sul sicuro e pulire il tuo sistema e ricominciare da capo, seguendo questa procedura dovresti essere in grado di farlo preservando i tuoi dati.
- Sincronizzazione e backup
Prima assicurati che il tuo sistema sia correttamente sincronizzato con i servizi basati su Cloud (iCloud, Google, Yahoo, ecc.) Per assicurare che elementi come contatti e calendari siano salvati. Puoi anche accedere a Rubrica Indirizzi, iCal e ad altri programmi che utilizzi regolarmente ed esportare calendari, contatti e altri dati per salvarli su un'unità flash o su un altro supporto di memorizzazione separato. Tali azioni assicureranno che sarai abile a ripristinare alcuni di questi elementi senza fare affidamento sui servizi di sincronizzazione per gestirli per te.
Oltre alla sincronizzazione, assicurati che il tuo sistema sia sottoposto a backup. Usa Time Machine o uno strumento di clonazione per eseguire il backup dei tuoi file, o almeno copia manualmente tutte le cartelle dalla tua directory home a un disco rigido esterno, e fallo per ogni account attivo sul sistema accedendo a ciascuno ed eseguendo questi Azioni.
Al termine del backup, smontare e scollegare il disco rigido esterno utilizzato per il backup.
- Annullare l'autorizzazione o annullare la registrazione delle applicazioni Alcune applicazioni comuni come iTunes dispongono di funzioni di autorizzazione e registrazione per la visualizzazione e la gestione del contenuto, quindi assicuratevi di autorizzare nuovamente queste funzioni prima di continuare, poiché potrebbero verificarsi problemi durante la configurazione dei programmi. Ad esempio, iTunes consente solo a cinque computer di essere autorizzati a un account iTunes Store specifico, in modo che tu possa rimuovere l'autorizzazione dal computer scegliendo l'opzione nel menu "Store" per impedire al negozio di presumere che tu abbia autorizzato più sistemi di te proprio.
- Formattare l'unità
Riavviare il sistema sul DVD di installazione di OS X per OS X 10.6 o precedente (tenere premuto il tasto C all'avvio con il DVD nell'unità ottica), o riavviare con i tasti Command-R mantenuti per OS X 10.7. Quando viene caricato il programma di installazione di OS X, seleziona la tua lingua e quindi apri Utility Disco (disponibile nel menu Utilità se non è presente in una finestra Strumenti).
In Utility Disco, seleziona il volume di avvio, quindi utilizza la scheda Cancella per formattarlo in "Mac OS X Extended (su giornale)". Questo processo dovrebbe essere abbastanza veloce e, una volta terminato, dovrebbe lasciare un disco rigido vuoto.
- Reinstallare OS X
Esci da Utility Disco e quindi apri il programma di installazione di OS X. Non scegliere alcuna opzione per ripristinare dal backup. Seguire le istruzioni visualizzate per selezionare il disco rigido appena formattato e reinstallare OS X, quindi attendere il completamento dell'installazione.
- Creare un nuovo account
Quando OS X è appena installato, ti chiederà se desideri eseguire la migrazione dei dati da un backup o da un altro computer. Evita di farlo e crea invece un nuovo account utente personale (puoi utilizzare lo stesso nome account e altre informazioni).
- Aggiorna il sistema
Quando accedi per la prima volta al tuo account, vai su Aggiornamento Software (nel menu Apple) e aggiorna il sistema alla versione più recente. Esegui l'aggiornamento del software più volte fino a quando non sono disponibili altri aggiornamenti.
- Disattiva Java
L'ultimo malware Flashback minaccia i sistemi di destinazione con vulnerabilità Java. Mentre Apple ha smesso di spedire Java con OS X Lion, le versioni precedenti di OS X lo hanno installato per impostazione predefinita. Spesso Java non è necessario per eseguire applicazioni in OS X, quindi, a meno che non ne abbiate bisogno specifico, spegnetelo. Anche se sospetti che potresti aver bisogno di Java, potresti considerare di iniziarlo disabilitato e quindi attivarlo solo in base alla domanda.
Esistono due modi generali per gestire Java in OS X. Il primo è attraverso impostazioni specifiche dell'applicazione come le preferenze per Safari, Firefox e altri browser Web, in cui è possibile individuare le impostazioni per disabilitare il plug-in Java e la gestione di Java ( non disabilitare JavaScript). Queste impostazioni assicurano che programmi specifici non utilizzino Java e per la maggior parte saranno sufficienti per impedire a Java di sfruttare il sistema; tuttavia, se si ripristina Safari o si installa un nuovo browser Web, è possibile che venga utilizzato inavvertitamente Java.
Per impedire l'uso involontario di Java da parte dei programmi, è possibile aprire l'utilità Preferenze Java nella cartella / Applicazioni / Utility / e deselezionare i runtime Java elencati per disabilitarli a livello di sistema. Se all'apertura delle preferenze di Java viene visualizzato un avviso relativo alla necessità di installare Java, il sistema non viene installato e non è necessario eseguire altre operazioni.
Se hai bisogno di Java installato e attivo sul tuo sistema, assicurati di applicare l'ultimo aggiornamento del software Java e considera di disattivarlo nei browser Web.
- Ripristina i tuoi dati dal backup
Il passo successivo è copiare i dati sul sistema dai backup. Non utilizzare lo strumento Migration Assistant di Apple per farlo poiché ripristinerà cartelle e applicazioni che potrebbero essere state alterate dal malware, quindi copia i file da Documenti, Film, Musica e altre cartelle di directory home nelle rispettive posizioni all'interno del tuo account utente.
L'attuale malware Flashback ha influenzato il contenuto della libreria utente, in particolare la cartella Launch Agents, e mentre è possibile ripristinare il contenuto della cartella nella nuova libreria utente per conservare alcune impostazioni e configurazioni, per l'attenzione che viene prestata in più questo approccio, è meglio lasciare la cartella da solo e solo ripristinare singoli elementi solo se necessario.
A questo punto puoi configurare iCloud o altri servizi di sincronizzazione nelle preferenze di sistema, quindi avviare Address Book, Mail, iCal e altri programmi che usi per configurare quei programmi e gli account che usi con loro. Se mancano contatti e calendari, è possibile reimportarli dai backup manuali creati in precedenza.
Eseguire i passaggi 6 e 7 per eventuali account utente aggiuntivi sul sistema creando innanzitutto l'account, disattivando Java e quindi ripristinando i dati dell'account dal backup.
- Reinstallare le applicazioni
Il prossimo passo dopo aver ripristinato i tuoi account è reinstallare le applicazioni che usi. Mentre il precedente set di applicazioni è stato sottoposto a backup prima di iniziare questa procedura, evitare di ripristinarle o aprirle perché in una modalità di infezione il malware Flashback altera direttamente alcuni di questi programmi. Invece, usa il backup come riferimento per le applicazioni che avevi in precedenza e reinstallale dai loro dischi di installazione, dal Mac App Store o da altri mezzi con cui li hai originariamente ottenuti.
Quando hai installato le tue applicazioni, assicurati di aggiornarle completamente e quindi aprirle e configurarle in base alle tue preferenze.
A questo punto il tuo sistema dovrebbe tornare a uno stato utilizzabile e dovresti essere in grado di continuare il tuo flusso di lavoro com'era prima di reinstallarlo. Se scopri che mancano alcuni tipi di carattere, suoni o altri file richiesti dalle applicazioni, puoi accedervi dalla cartella globale / Library dal backup o nella cartella / Library dal tuo account utente.
L'ultimo passo in questo processo è quello di proteggersi da ulteriori infezioni. Mentre disabilitare Java come menzionato sopra è un passo, puoi prenderne altri per proteggere il tuo sistema. Installa un firewall inverso come Little Snitch per aiutare a rilevare e bloccare i programmi dal phoning home ai server remoti e prendere in considerazione l'installazione di un'utilità antivirus.
Sebbene non sia necessario configurare lo strumento antivirus per eseguire la scansione diligente di tutti i file su richiesta, è possibile configurarlo per scansionare solo le cartelle di download comuni (ad esempio il desktop o la cartella Download nel proprio account utente) e quindi una volta alla settimana o forse una volta al mese scansiona l'intero sistema. Per ora, nonostante le ultime notizie sul malware, questo dovrebbe essere sufficiente per scongiurare il malware e offrire un'ampia protezione.
AGGIORNATO: 4/8/2012, 12:30 pm - Aggiunte informazioni su come rimuovere l'autorizzazione dalle applicazioni prima della formattazione (grazie al lettore MacFixIt Michael N.)
Lascia Il Tuo Commento