Pronto, Mac? Qui malware, sì, di nuovo

Sono una torma i malware che da un po’ di tempo minacciano (relativamente) i computer Mac. L’ultimo della serie si chiama DevilRobber.A, è stato segnalato da Sophos ed Intego. Arriva dissimulato dentro dei programmi disponibili come torrent (presente ad esempio in una versione 7.4 di GraphicConverter, in un non specificato AudioHijack Pro).

Stando a quanto si riporta, il programma si autoinstalla, vi sorveglia, accede al vostro portachiavi e cerca di intascare dei Bitcoins (e cerca di generarne facendo lavorare il processore della scheda grafica). Comunica con l’esterno tramite la porta 34522 e pare disattivi Little Snitch.

Gli utenti responsabili, come al solito, non hanno grattacapi: almeno questi no!

Tags: , ,

Shortlink: http://www.tevac.com/?p=9067

69 Commenti a “Pronto, Mac? Qui malware, sì, di nuovo”

  1. Daniele Pitrolo 19 novembre 2011 at 15:32 #

    Guarda, non so risponderti perché non ho avuto la ventura di imbattermici. Immagino però che da solo si posizioni dove deve e si metta a funzionare, senza farti apparire una finestra che chiede se veramente vuoi DevilRobberA. In caso, è lanciando l’installer parassitato che recupera la parola d’ordine necessaria per ottenere i privilegi che gli servono.

    • gian.luca 20 novembre 2011 at 12:39 #

      Ah ok! grazie per il chiarimento. Quindi con “autoinstalla” in questo caso ci si riferisce alla classica installazione manuale. In altri termini, non si insedia automaticamente senza l’intervento dell’operatore incauto, ma richiede che ci sia l’operatore incauto a far partire un installer e a fornirgli le chiavi di casa.

  2. Simulacron 23 novembre 2011 at 20:59 #

    Più o meno….

  3. elekkk 22 dicembre 2011 at 23:45 #

    Sera,
    mi sono beccato qualcosa al mio OSX 10.6.8; nei processi attivi c’e’ un bel MDSD al 100% di utilizzo della CPU; che rimedi ci sono ??? devo piallare ? grazie della consuleza PS uno speciale saluto a MACRAISER :-)

    • Roberto Rota 23 dicembre 2011 at 00:03 #

      non credo abbia nulla a che fare con un malware (visto il post). il processo MDS è legato all’indicizzazione di spootlight, magari ci sono delle difficoltà ad indicizzare qualche volume.

      se fai una veloce ricerca su google troverai molte persone che lamentano problemi analoghi, oppure apri un topic sul forum per aprire una discussione e magari trovare consigli utili.

      rob

      • MacGeek 23 dicembre 2011 at 01:22 #

        Infatti il processo si chiama MDSD non MDS, tanto per confonderti le idee.
        Sì elekkk. Ti sei beccato il malware che mi ero preso anche io.

        Pialla la cartella “Manager” che dovresti avere nella tua libreria.
        E anche il suo file .plist (vedi mio post precedente o il sito di F.Secure, perché ci sono diverse varianti).

        E magari cambia le pw più importanti.

  4. elekkk 23 dicembre 2011 at 08:24 #

    Ciao,
    si’ ho scritto MDSD perche’ il processo sempre attivo si chiama cosi’……allora, ho vuotato la cartella MANAGER, ma il file com.apple.incence.plist non c’e’ nelle preferenze…..cmq riavvio e vediamo cosa succede; per le password oltre a quella di ADMIN cosa consigli di cambiare ? grazie. saluti.

    • MacGeek 24 dicembre 2011 at 21:51 #

      Il brutto di quella cosa è che fa un dump (cioè scarica e probabilmente invia al suo sviluppatore) del tuo ‘portachiavi’. Quindi è possibile che si sia preso tutte le tue password (anche se non è sicuro al 100%). Quella di amministratore è l’ultimo dei tuoi problemi, ormai.

  5. elekkk 24 dicembre 2011 at 22:02 #

    azzzzzarola…….ora funzia bene e infatti quel processo non c’e’ piu’…..quindi devo cambiare tutte le password ???? intendi quelle delle email e dei vari siti ??? grazie, buone feste

  6. elekkk 24 dicembre 2011 at 22:55 #

    Domanda: basta che cambio TUTTE le password direttamente dai rispettivi siti oppure prima di farlo devo SVUOTARE il portachiavi ??? grazie

  7. Simulacron 25 dicembre 2011 at 21:45 #

    Entrambi….Cominciando dallo svuotamento del portachiavi e quindi alla sostituzione delle password.
    Ora non so come sia ma, forse nella partizione nascosa c’è la sostituzione delle password.

    Prima, però, prova a andare nelle preferenze generali, dove si crea un account nuovo.
    Createne uno admin e uno utilizzatore (no admin) mettendo password & username solo nel primo. Cancella quello vecchio.
    Con un po’ di fortuna dovresti essere ugualmente a posto senza troppe complicazioni.

  8. elekkk 28 dicembre 2011 at 13:44 #

    Anche sul forum apple ne stanno parlando, un tot di gente l’ha beccato: https://discussions.apple.com/thread/3454947?start=30&tstart=0

  9. Simulacron 28 dicembre 2011 at 15:26 #

    Ricordati che un file, qualunque file, non entra da solo nel tuo computer.
    Se scarichi a a caso (=da fonti non sicure) e gli dai il permesso di fare le cose sue, appena èatterrato nel dispositivo di memoria (anche solo concedendo al file con il malware di trasferirsi dal luogo dove si trova al tuo computer), devi ringraziare se l’autore del malware non ha trasformato la tua macchina in un componente di una botnet e puoi ancora farci qualcosa.
    Per quale motivo credi abbia scritto nei miei post di scaricare i file nel disco esterno,sempre e in qualunque occasionee di passarlo su quello principale (con backup disponibile in un terzo posto diverso dagli altri due in uso)?

    Nella seconda parte del mio intervento, ribadirò questo concetto….

  10. elekkk 28 dicembre 2011 at 15:33 #

    Hai ragione al 100%….ammetto di scaricare ogni tanto un po’ di cose pirata, li scarico sempre su un HD secondario del MacPro….stavolta installando qualcosa e’ partito……ora sembra che sia tutto risolto con le varie guide, ma staro’ vigile….grazie :-)

  11. simulacron 28 dicembre 2011 at 15:52 #

    Almeno sei onesto. La prossima volta evita quei siti. Pensa sempre che se il file è pirata, qulche motivo ci sarà, non credi?
    Forse quel motivo non è a favore di chi lo scarica….
    Ribadisco che devi essere contento di non avere perso l’accesso al tuo computer.
    In via prudenziale, pensa sempre che quando scarichi qualcosa da posti strani apparentemente interessanti, per qualche tua ragione, hai il 50% delle probabilità di perdere il computer (non importa con quali danni per te o per lui).
    Non sempre puoi riprenderlo ( con una buona formattazione alla windows), potresti anche essere costretto a gettarlo alle ortiche e, informaticamente parlando, andare a pelare patate. Se mi è concessa questa metafora.
    Mi auguro che questa avventura ti sia servita da lezione….

    • martyr 28 dicembre 2011 at 16:00 #

      Non sempre puoi riprenderlo ( con una buona formattazione alla windows), potresti anche essere costretto a gettarlo alle ortiche e, informaticamente parlando, andare a pelare patate. Se mi è concessa questa metafora.

      stai scherzando vero?? quello che hai scritto e’ una parte di una commedia dell’assurdo che stai scrivendo?

      e nessun file scaricato se non e’ autorizzato all’esecuzione e avviato può procurare danni…

      se in qualche assurdo e impalpabile, tecnicamente, modo perdi la password di accesso basta avviare dal dvd o dalla partizione di restore e cambiare la pasword

      se non hai accesso a quelle basta avviare in single user mode e modificare la pasword da “darwin”

      stai solo facendo terrorismo gratuito

  12. Simulacron 28 dicembre 2011 at 18:40 #

    Ragazzo, forse tu non sai cosa si può fare con una buona sequenza di istruzioni.
    C’è un amico che con un comando ti brucia la possibilità di accendere e fare ripartire il computer. Hd di chi lo importuna (=si intromette nelle sue cose). In due c’hanno provato e si sono visti costretti a comprare 3 (tre) computer prima di imparare la lezione.
    In quanto a quel malware, ti assicuro, scusa la ripetizione, che se fai un buon codice, se quello si accorge di dove si trova e di cosa può fare, delle password e dell’username se ne frega. Hai almeno un’idea di quanti mac sono diventati membri di una botnet?
    I permessi esecutivi….
    Quelli glieli dai già solo a permettergli di trasferirsi da un posto ad un altro. In molti casi, basta aprire il plico del file contenente il malware e quello si attiva e comincia a fare danni. L’ultimo di cui ho saputo con certezza era nascosto dentro un pdf. Appena aprivi quel file per vedere cosa conteneva…..Zac….Dovevi rasare via tutto per salvare il salvabile. Facevi prima……
    Qui in OS X siamo fortunati. Il malware che sta arrivando fa meno danni che in Android e al massimo fa perdere qualche ora per una formattazione profonda e la ricopiatura di un backup….
    Fare terrorismo? Sono certo che se si ha un po’ di cervello, una volta fatta l’esperienza di malware nella macchina (se poi ci sono implicazioni di portamonete, meglio ancora) la volta successiva si fa più attenzione, molta, molta più attenzione…..
    Che tu ci creda o meno….

  13. martyr 28 dicembre 2011 at 18:45 #

    ma per favore… torna a provare a finire in la sai l’ultima

    Qui in OS X siamo fortunati. Il malware
    e di cosa si dovrebbe parlare su tevac? dei malware e dei virus per windows?

    nei tuoi discorsi usi troppi SE…

    hai scritto delle emerite scempiaggini… e sì fai terrorismo…

    l’argomento e’ osx e le tue esperienze di vita non mi interessano

    se continui con sti toni sei solo un troll

  14. Simulacron 28 dicembre 2011 at 19:05 #

    Ne hai per molto ancora?

    Io ho solo detto che se non ti comporti nella maniera giusta puoi finire in qualche guaio e te ne ho descritti alcuni. Procurati da persone estremamente affidabili, in questo campo dato che trafficano in reti, più o meno, per professione nella loro azienda.

    Se tu sei convinto che non capitino e, soprattutto, non succedano a te per le tue ragioni, ti faccio le mie felicitazioni.
    Sappi che nel mondo IT, l’85-90 % di utenti, se non li avverti in quella maniera, finiscono in un mare di guai. In un recente passato ho seguito alcuni casi che si sono bruciati svariati computer prima di imparare la lezione.

    In quanto al troll, flamer, dork, lamer e tutto il resto di quel mondo, mi permetto di suggerirti di studiarne bene il significato prima di proferire quelle parole.

    Os X gestisce anche le reti e le mie esperienze di vita sono sempre quelle professionali. Quella privata è, appunto, privata e non al vado a spifferare in giro.
    Anche in questo caso, ti suggerisco, vivamente di darti allo studio della semantica e della pragmatica prima di scrivere qualcosa di pubblico.
    Soprattutto se sei così esperto di queste cose. Un hacker, degno di tale nome, soprattutto se dis tampo classico, può dire molte cose senza usare alcun insulto.
    contrariamente a quanto hai fatto tu.
    Mi hai stancato. Per cui ti lascio parlare al deserto e vado a fare qualcos’altro….

    • martyr 28 dicembre 2011 at 19:09 #

      ho tutto il tempo che vuoi …. fino a quando non ti sarà palese quanto sia inutile quello che scrivi

      usare un terzo disco dove scaricare? e’ un consiglio di buon senso… ma per piacere!!!

      tutto quello che hai scritto è un bel concentrato di nulla

      e gli attacchi personali non dimostrano altro che la tua levatura e la levatura dei tuoi interventi…

      con questo … o hai cose interessando da aggiungere

      ON TOPIC e RELATIVE ALLA PIATTAFORMA

      CON FONTI CERTE E CONSULTABILI

      possiamo anche continuare sto balletto ridicolo

      altrimenti rimani un troll che fa solo terrorismo.

Lascia un Commento

%d blogger cliccano Mi Piace per questo: