Flashback, ecco come rimuovere il virus che ha colpito 600mila Mac
Fino a qualche tempo fa un “must” dell'eterna lotta tra Mac e Pc era il fatto che i terminali prodotti da Apple fossero immuni da virus a differenza dei cugini con Windows che si esaurivano tra antivirus e formattazioni disperate nella speranza di risolvere il problema. In realtà i sistemi operativi utilizzati da Cupertino non erano tecnicamente immuni da possibili infezioni ma il numero ridotto di terminali in circolazione rispetto ai PC in qualche maniera aveva messo al riparo Mac & Co. da possibili attacchi di worm, trojan e così via. L'epoca d'oro sembra ora finita con la notizia di quello che è la più grande infezione da virus informatico che abbia coinvolto i computer della Mela, con oltre 600.000 Mac infettati in tutto il mondo.
Flashback è un worm che si presenta come estensione per Flash ma che in realtà sfrutta un problema di vulnerabilità Java di Safari e che si è diffuso con tale velocità da aver infettato persino 274 computer nella sede centrale di Cupertino. Apple è immediatamente corsa ai ripari rilasciando una patch per risolvere il problema ma allo stesso tempo F-Secure, una delle più note aziende produttrici di sowftare antivirus, ha reso nota una semplice procedura per rimuovere il worm manualmente.
1 – Aprire il terminale e digitare “defaults read /Applications/Safari.app/Contents/Info LSEnvironment”
2 – Prendere nota dei codici DYLD_INSERT_LIBRARIES e premere nuovamente invio
3 – Se si riceve un messaggio d’errore simile a “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist” non si è infetti.
4 – Se i file vengono effettivamente trovati, digitare “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto_2% ” e prendere nota del valore di fianco a “__ldpath__”
5 – Eseguire i comandi “sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment” e “sudo chmod 644 /Applications/Safari.app/Contents/Info.plist”, cancellando poi i file trovati nel secondo punto e nel quarto.
6 – Eseguire il comando “defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES” e, se si riceve un messaggio come “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” il trojan è stato correttamente rimosso. In caso contrario, eseguire nuovamente “grep -a -o ‘__ldpath__[ -~]*’ %percorso_del_punto 4% “, prendendo nota dei valori.
7 – Dopo aver eseguito “defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES”, cancellare i file indicati nei punti precedenti.