E il Mac User si becca un virus…

Eh già.. sono sempre stato un acuto sostenitore della teoria “mac e linux non prendono virus, windows cacca”, ma stavolta mi sono dovuto ricredere..

beh, in realtà la situazione è parecchio ridimensionata rispetto agli pseudogiornalisti che vanno già gridando “ah, adesso anche mac os x è vulnerabile, corriamo ai ripari, dolore e sofferenza!”. Una su tutti: il virus non sfrutta vulnerabilità di sicurezza (che, fino a prova contraria, non ce ne sono, perlomeno non a questo livello), bensì sfrutta l’installazione di un software voluto dall’utente; ovvero, al momento dell’installazione del software l’utente riceve una richiesta di inserire la password di amministrazione, e in questo modo il virus ha via libera per installarsi a proprio piacimento. Il problema non è in MacOsX, ma nell’utente.. e devo dire che la fregatura è ben nascosta, questa volta.

Il virus in questione viaggia su una copia trial di iWorks 09 (iWork09Trial.mpkg) scaricata da torrent; specifico che non si tratta di una copia illegale, dato che la versione dimostrativa è liberamente scaricabile anche dal sito della Apple. Il virus si chiama “iWorksServices”; si tratta di un troyan horse (ovvero di un software malizioso che si propaga nascosto in software riconosciuti) ed ha come scopo l’installazione di un servizio nascosto che consente al suo creatore di prendere possesso dei computer sui quali è installato. Pare non faccia altri danni.

Come riconoscere la versione di iWorks09 modificata?

Se avete scaricato la versione trial ma non l’avete ancora installata potete controllarla molto semplicemente:

  • click col pulsante destro sul file .pkg
  • selezionare la voce “mostra contenuto pacchetto”
  • entrare nella cartella Contents -> Packages
  • controllare che i packages presenti siano 4 e non 5.

Nell’immagine sotto il contenuto di una copia infetta (il file di troppo è l’ultimo, “iWorkServices.pkg”):

iworktroyan

Se questo è quello che vi ritrovate, cancellate la vostra copia e scaricatevi la versione dimostrativa dal sito della Apple, e smettetela di smanettare col torrent🙂 e se proprio vi piace, non fate i barboni e compratelo.

Come scoprire se mi sono beccato il virus?

Se avete già installato la suddetta copia, probabilmente ve lo siete beccato; per averne la certezza, basta aprire il “monitoraggio attività” (in Applicazioni -> Utility) e cercare il servizio in esecuzione:

iworktroyan2

Ricordate di selezionare “tutti i processi” nel menu a tendina. Come vedete sul mio computer non ci sono infezioni, se per caso vedeste qualche elemento nell’elenco vorrebbe dire che ve lo siete beccato (accertatevi di non avere iWorks quello vero in esecuzione, sennò nell’elenco apparirebbe pure quello). Potete subito fare qualcosa, ovvero terminare i processi fastidiosi: selezioniamoli uno alla volta e premiamo il pulsante “esci dal processo”.

Eliminare il problema una volta per tutte

Anche se nel punto precedente avete fermato i processi maliziosi, purtroppo questi verranno riaperti ogni volta che riavviate il sistema; bisogna andare ad eliminarli alla radice.

In rete ci sono già numerosi sistemi che vantano di poter rimuovere il problema: alcuni sono a pagamento, altri sono ulteriori virus, altri sono semplicemente fregature; non cascateci, basta poco per rimuovere il virus a mano.

Usando il semplice Finder, andiamo nella cartella “Macintosh HD/Sistema/Libreria/StartupItems”; vi troveremo dentro una cartella di nome “iWorkServices”. Spostiamola senza pietà nel cestino, e vuotiamolo (verrà richiesta la password di amministrazione): se abbiamo terminato i processi nel punto precedente non ci dovrebbero essere problemi; se per caso ce ne fossero, lo vuoteremo al prossimo riavvio, no problem🙂 .

Dobbiamo poi rimuovere l’eseguibile vero e proprio, nascosto nella cartella “/usr/bin”. Questo è più comodo farlo dal Terminale (Applicazioni/Utility/Terminale):

cd /usr/bin
sudo rm iWorkServices (verrà richiesta la password)

A questo punto dovremmo essere a posto. Per verificare, riavviamo il sistema e andiamo a controllare come descritto nel punto “Come scoprire se mi sono beccato il virus?”. Se non ha funzionato, vuol dire che ci siamo dimenticati qualcosa: ricominciamo dal primo punto!

E ricordate: i software si pagano. Certo, se qualcuno cercasse di rifilarvi software scadente e volutamente non compatibile col resto del mondo (per ragioni di monopolio), magari sareste invogliati a piratare. Ma iWork09 è una splendida suite, comoda, completa ed efficiente, e costa relativamente poco. Se vi occorre sul serio non fate i barboni!

Questa voce è stata pubblicata in Uncategorized e contrassegnata con , , . Contrassegna il permalink.

2 risposte a E il Mac User si becca un virus…

  1. Fabio ha detto:

    Bell’articolo…sopratutto utile! In ogni caso… è giusto che anche noi utenti mac ci bekkiamo qualche schifezza…non vorremo lasciare tutto ai poveri utenti windows?

  2. alphaone ha detto:

    Grazie! Ottimo articolo!😉

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...