Stando a quanto dichiarato da SecureMac, sarebbero state scoperte numerose varianti di un Trojan per Mac OS X efficaci sia su Tiger che su Leopard.
Il Trojan è attualmente distribuito attraverso il sito dell’hacker ma il timore è che possa presto propagarsi attraverso iChat e Limewire. Riconoscere il file malevolo, almeno per il momento, è piuttosto facile: si presenterebbe come ASthtv05 (60 KB) compilato come AppleScript e AStht_v06 (3,1 MB) nella forma di applicazione. Il Trojan permette l’accesso remoto al sistema e può rubare la password di amministratore e quella utente; inoltre, sarebbe in grado di registrare le combinazioni di tasti e di permettere l’accesso ai documenti condivisi.
Il Trojan sfrutta un bug una feature di Apple Remote Desktop che permette di farlo girare come amministratore e, una volta attivato, si aggiunge automaticamente agli elementi di login. Per farlo partire la prima volta, ovviamente, è necessario l’intervento dell’utente il quale deve prima scaricarlo ed infine avviarlo. Il consiglio di SecureMac, manco a dirlo, è di procedere subito all’aggiornamento del proprio anti-spyware MacScan, venduto a 29,99$. Per chi desiderasse tentare un approccio più “casareccio”, è possibile attuare qualche piccolo stratagemma.
Facendo copia/incolla nel Terminale della stringa che segue, verranno cambiati i privilegi del bundle dell’applicazione ARDAgent e ciò eviterà che il Trojan possa attivarsi. Tenete presente, però, che al primo aggiornamento - o alla prima riparazione dei privilegi - il problema si ripresenterebbe, ed inoltre potrebbero manifestarsi degli inconvenienti nell’uso del Desktop Remoto.
sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app
Un’altra soluzione, in attesa che Apple si decida a risolvere il problema, è di rimuovere o rinominare ARDAgent.app, ma è una via percorribile solo nel caso non abbiate necessità di essere controllati in remoto. Altrimenti, e forse è la considerazione più ovvia, il consiglio è di stare semplicemente attenti a ciò che si scarica e si esegue, consapevoli che nessuna Sistema Operativo è perfetto ed esente da minacce.
[Via Tuaw]
melablog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Melablog.it contattare la concessionaria esclusiva Populis Engage.
armata22
20 giu 2008 - 10:50 - #1si ma qui si parla di un trojan che cmq deve passare per varie attivazione da parte dell’utente, dunque un minimo di attenzione e non succede niente.
concludo riprendendo la vostra frase “consapevoli che nessuna Sistema Operativo è perfetto ed esente da minacce”….invece no mac osX è perfetto! ihihihi daje sto a giocà.
cmq rimango perfettamente traquillo!
Dani_Dan
20 giu 2008 - 10:56 - #2Più gente passa a mac è più cazzate del genere si creeranno.
Mi fa piacere che il MAC sia prendendo piede sempre di più ma dall’altra mi spaventa e preoccupa tutta la marmaglia windozziana che rovinerà il bell’aspetto dell’OSX.
ilmargarit
20 giu 2008 - 10:57 - #3secondo me è divertente quando si scoprono pericoli o presunti tali per OS X, perchè si rimane sbalorditi di come poi sia semplice proteggersi, senza ricorrere ad inutili antivirus.
_ThE_BeSt_92
20 giu 2008 - 10:57 - #4con windows i virus partono anche senza installazioni vere e proprie! per questo MAC è superiore (e sempre lo sarà :-) )
ilmargarit
20 giu 2008 - 11:01 - #5e poi, chi mai scaricherebbe un file applescript o un applicazione chiamato “ASthtv05″.già vedendo quel marasma di lettere e numeri dovrebbe venire il dubbio. questi sono nomi da .EXE
rogerdodger
20 giu 2008 - 11:04 - #6Certo. Se si segue il loro consiglio e si installano sw antivirus è poi logico che loro stessi saranno portati a immettere simil virus. Quindi la cosa migliore da fare è non dare loro soldi e avere un firewall e basta
Eduardo
20 giu 2008 - 11:24 - #7Oppure come soluzione si consiglia di non aprire file a caso che vi arrivano.
Nicola G
20 giu 2008 - 11:34 - #8Dite di “stare attenti”…
ad un mio amico ho inviato un finto virus dentro ad un .rar via messenger (in realtà il “virus” era un .ink che rimanda alla funzione “shutdown” di windows, descritto qui da Geekissimo)
Quando gli si è riavviato il computer ha preso lo scagozzo…
Fonfon
20 giu 2008 - 11:36 - #9@aWilito
parli di Trojan quando invece l’argomento in realta’ e’ un exploit per fare una root escalation o per essere piu’ precisi una local privilege escalation.
Che poi si possa voler usare questa privilege escalation per fare un trojan e’ argomento del tutto secondario.
Poi parli di “feature di Apple Remote Desktop” quando invece si tratta chiaramente ed oltre ogni ragionevole dubbio di una scelta sbagliata che va chiaramente sistemata.
Il dubbio e’: ci sei o ci fai? Ovvero non capisci nulla dell’argomento o ci capisci e giochi a mettere la testa sotto la sabbia?
qwerty_
20 giu 2008 - 11:38 - #10ahahah favoloso, cosa non farebbero per spillare 29 dollari alla gente, che truffatori
Fonfon
20 giu 2008 - 11:58 - #11Per chi e’ realmente interessato a sapere come stanno le cose: ARDAgent.app ha il bit SetUID settato, questo significa che quando un utente lo esegue il processo ad esso associato gira coi privilegi dell’owner dell’eseguibile che in questo caso ha i privilegi di root.
E’ cosa ovvia che un eseguibile che hai il SetUID debba essere “blindato” ovvero se l’utente esegue un programma di questo tipo devo essere sicuro che non possa essere sfruttato in modo “maligno”.
Il problema e’ che ARDAgent.app e’ un’applicazione scriptable e quindi posso sostanzialmente fargli fare quello che voglio.
Questo viola la regola prima di sicurezza in Unix per le applicazioni col SetUID settato e quindi non e’ una feature e’ un baco di sicurezza oltre ogni ragionevole dubbio.
Il workaround e’ banale, basta cambiare l’owner di ARDAgent.app ma questo presumibilmente poi ne provoca il non funzionamento.
Il punto e’ che Apple deve risolvere il problema con un aggiornamento di sicurezza, su questo non c’e’ neppure da discutere.
AlexMM
20 giu 2008 - 12:01 - #12Come già detto, per farlo partire questo “trojan” (anche se non è degno di questo nome!) bisogna fare diversi click. Indubbiamente non è minaccia…
Fonfon
20 giu 2008 - 12:15 - #13Dopo la spiegazione “tecnica”, ecco la spiegazione “terra-terra”.
Su OS X se scarico un programma da internet e lo eseguo so che non potra’ mai fare danni particolari perche’ nel momento in cui il programma provasse a modificare dei file di sistema mi apparirebbe la nota finestra nella quale va inserita la password di root.
Questo non e’ piu’ vero se il programma scaricato da internet sfrutta la falla di sicurezza di ARDAgent.app che permette al programma scaricato da internet di acquisire i privilegi di root senza che appaia la finestra per inserire la password di root.
Insomma il progamma potrebbe fare quello che vuole senza che l’utente si accorga di nulla.
E’ quindi un modo (per altro molto semplice) di aggirare tutto il sistema di sicurezza di OS X.
E’ un baco della massima gravita’ e il “condizionale” usato a aWilito e’ del tutto fuori luogo.
Fonfon
20 giu 2008 - 12:16 - #14@AlexMM
non hai capito proprio nulla.
geno
20 giu 2008 - 12:22 - #15per me sbagliate a dire che se è l’utente che lo deve far partire di fatto non è un problema. Non voglio fare paragoni con Windows. Pensiamo ai virus per cellulari symbian di vecchia generazione, elenco i passaggi che deve eseguire l’utente:
- Ricevi un file via bluetooth, accetti il traferimento?
- utente: SI
- E’ arrivato il file ,vado nei messaggi a vedere cos’è.
- Non è una foto ne immagine. Eseguire l’installazione?
- SI.
- Accettare i termini di licenza?
- SI.
- Installare su Memory card o telefono?
- seleziono memory card
FATTO.
E nonostante ciò…io conosco un casino di gente con un vecchio Nokia ce l’ha fatta ad installare un file malevolo. E si che…devi confermare 40 volte…però…..c’è chi ci è riuscito :)
iAlberto
20 giu 2008 - 12:24 - #16MMMH… riguardano le impostazioni del mio firewall in leopard non saprei cosa mettere… Consenti tutte le connesioni in entrata, solo a servizi essenziali oppure ad applicazioni e servizi specifici?
sirus
20 giu 2008 - 12:53 - #17E’ inutile sdrammatizzare in questo modo, il problema è a tutti gli effetti grave. Legate questa falla a quella di Safari che permette di autoscaricare contenuti da Web ed il gioco è fatto.
E’ grave che un’applicazione eseguita con SUID root possa ricevere questo genere di messaggi Apple Script!
Luigi74
20 giu 2008 - 12:56 - #18Senza voler essere gratuitamente critico ed invitando alla riflessione! Sottolineo come la vulnerabilità di un sistema operativo dipenda in larga misura dalla sua diffusione! Osx acquisisce popolarità e questo è il compromesso di tanto succeso! Un compromesso che “illumina” sulla presunta inespugnabilità di questo sistema operativo! Se la storia del pc avesse giocato a favore di Jobs, oggi parlerei in questi termini di Windows ovviamente! Buona vita
Bones
20 giu 2008 - 12:58 - #19@FonFOn
Grazie della spiegazione, soprattutto quella “terra-terra” per quelli come me che si perdono dietro a certi paroloni:-P
Cmq io non sono d’accordo con chi afferma che per via dei numerosi passaggi questo malware non sia pericoloso. è una scusa bella e buona secondo me.
qwerty_
20 giu 2008 - 13:48 - #20credo sia palese che il trojan è stato creato dalla stessa SecureMac che ora vuol convincere gli utenti della sua pericolosità per fargli acquistare il proprio inutile e costoso anti-trojan
ridicoli…
xyze
20 giu 2008 - 14:06 - #21fantastico!
buahahah
-Hypno™-
20 giu 2008 - 14:17 - #22E pensate che lo danno pure in licena Fuffaware®™©!
alexettoRMiphone
20 giu 2008 - 14:37 - #23ahah al prossimo keynote rilasceranno anche osxdefender? ahsuhaushua
iPala
20 giu 2008 - 14:41 - #24io ARDAgent.app nn ce l’ho nemmeno…
Come mai??
itmandar
20 giu 2008 - 14:56 - #25Io VOGLIO quel pupazzo di gozzilla sulla mia scrivania
-
@iPala
scrivi questo sul terminale
locate ARDAgent.app
jek
20 giu 2008 - 14:59 - #26e intanto che ci siamo: http://homepage.mac.com/uomoragno/RSSMac.info/files/9fd71ed774581d1625125feaab59d3c2-7058.html
itmandar
20 giu 2008 - 15:09 - #27@jek
O_O
-
da notare la correttezza di chi ha scovato la vulnerabilità, che non divulgherà dettagli fino alla patch correttiva di ff, apple spesso non riceve lo stesso trattamento.
Fonfon
20 giu 2008 - 15:54 - #28@itmandar
il motivo e’ ben nota nella community mondiale di chi si occupa di sicurezza, inutile scaricare le proprie colpe sugli altri.
The Real Hidden
20 giu 2008 - 16:58 - #29Il malware non è detto che si debba chiamare per forza AStht_v06, gli si potrebbe dare un altro nome e cambiargli l’icona, non mi pare ci voglia molto. Lo si mette sulla rete con una qualsiasi software p2p e lo si spaccia per un crack di un’applicazione. Gli utenti più sprovveduti non dovrebbero fare fatica a cascarci…
Ad ogni modo, anche se per adesso, prima di avviare un trojan su Mac bisogna eseguire molti passaggi, questo va considerato come un sintomo. Il fatto che OS X stia acquisendo una sempre maggiore diffusione comporta che molti più cracker si interessino a violare e infettare computer Mac e non è da escludere che in futuro si arrivi al livello di Win… purtroppo.
iSkalka
20 giu 2008 - 17:33 - #30Una volta si diceva che windows era pieno di virus, che bello il mac pulito e sicuro. Ora che iniziano ad arrivare anche lì è sintomo della maggiore diffusione del sistema. Questa analisi è sicuramente corretta ma perchè mai nessuno ha pensato di farla anche prima? Comunque problemi di questo tipo in un sistema operativo vanno senza ombra di dubbio catalogati tra i bug e non tra le feature.
info_dodo
20 giu 2008 - 19:04 - #31AHahhaha… 30 euro, ci provate proprio eh???
dolo_avp
20 giu 2008 - 21:43 - #32Scusate, forse ansi molto probabilmente sto andando fuori OT. Ma qualcuno mi sa consigliare un buon Firewall che però sia personalizzabile? x esempio potergli dire quale ip può entrare e quali porte aprire o chiudere. Grazie mille P.S.: Posseggo Leopard
W LA POKEMON MANIA
21 giu 2008 - 00:06 - #33potrei inviare il nuovo trojan a un contatto msn che mi stà antipatico ahahahahahahhawmuaahaiiajha
ilmargarit
21 giu 2008 - 08:02 - #34Per tutti quelli terrorizzati da questo trojan:
http://www.tuaw.com/ardfix/
itmandar
21 giu 2008 - 16:55 - #35approposito, al termine dell’installazione del trojan ricordate di attivare la gestione remota, altrimenti non funziona!
jpiero
22 giu 2008 - 00:32 - #36Diffusione o non diffusione il primo problema è chi sta dietro al computer.
Io non scarico applicazioni da siti non fidati e nemmeno dal p2p se non hanno un certo numero di fonti.
Nessun sistema è sicuro, secondo me windows per come è gestito è più a rischio e ovviamente anche per la sua popolarità.
Nel mio caso, come in tanti che scrivono qui, sono anni che non prendo virus. Invece, conosco tanti che sono capaci di aprire un applicazione scaricata da siti porno o da siti oramai notissimi che offrono crack e quant’altro.
Deus2
23 giu 2008 - 06:42 - #37@iSkalka
faccio questa analisi da anni e tutti mi hanno sempre preso in giro… come al solito ho sempre ragione con almeno 10 anni di anticipo… alla faccia del sistema “sicuro” UAHAHHAHAHAHAH
ma come mai sono stato bannato con Deus? boh.
w le serie tv.
imario
23 giu 2008 - 17:36 - #38Ma quel fotomontaggio con godzilla ed il Mac l’ho fatto io tempo fa! stava sul mio vecchio blog :D Come cavolo l’hai trovato?! :D:D:D
Mandami una mail :)
www.mariobaluci.com