ShadowThrone
20-06-2008, 12:01
fonte: http://www.securemac.com/
Stando a quanto dichiarato da SecureMac, sarebbero state scoperte numerose varianti di un Trojan per Mac OS X efficaci sia su Tiger che su Leopard.
Il Trojan è attualmente distribuito attraverso il sito dell’hacker ma il timore è che possa presto propagarsi attraverso iChat e Limewire. Riconoscere il file malevolo, almeno per il momento, è piuttosto facile: si presenterebbe come ASthtv05 (60 KB) compilato come AppleScript e AStht_v06 (3,1 MB) nella forma di applicazione. Il Trojan permette l’accesso remoto al sistema e può rubare la password di amministratore e quella utente; inoltre, sarebbe in grado di registrare le combinazioni di tasti e di permettere l’accesso ai documenti condivisi.
Il Trojan sfrutta un bug una feature di Apple Remote Desktop che permette di farlo girare come amministratore e, una volta attivato, si aggiunge automaticamente agli elementi di login. Per farlo partire la prima volta, ovviamente, è necessario l’intervento dell’utente il quale deve prima scaricarlo ed infine avviarlo. Il consiglio di SecureMac, manco a dirlo, è di procedere subito all’aggiornamento del proprio anti-spyware MacScan, venduto a 29,99$. Per chi desiderasse tentare un approccio più “casareccio”, è possibile attuare qualche piccolo stratagemma.
Facendo copia/incolla nel Terminale della stringa che segue, verranno cambiati i privilegi del bundle dell’applicazione ARDAgent e ciò eviterà che il Trojan possa attivarsi. Tenete presente, però, che al primo aggiornamento - o alla prima riparazione dei privilegi - il problema si ripresenterebbe, ed inoltre potrebbero manifestarsi degli inconvenienti nell’uso del Desktop Remoto.
sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app
Un’altra soluzione, in attesa che Apple si decida a risolvere il problema, è di rimuovere o rinominare ARDAgent.app, ma è una via percorribile solo nel caso non abbiate necessità di essere controllati in remoto. Altrimenti, e forse è la considerazione più ovvia, il consiglio è di stare semplicemente attenti a ciò che si scarica e si esegue, consapevoli che nessuna Sistema Operativo è perfetto ed esente da minacce.
Stando a quanto dichiarato da SecureMac, sarebbero state scoperte numerose varianti di un Trojan per Mac OS X efficaci sia su Tiger che su Leopard.
Il Trojan è attualmente distribuito attraverso il sito dell’hacker ma il timore è che possa presto propagarsi attraverso iChat e Limewire. Riconoscere il file malevolo, almeno per il momento, è piuttosto facile: si presenterebbe come ASthtv05 (60 KB) compilato come AppleScript e AStht_v06 (3,1 MB) nella forma di applicazione. Il Trojan permette l’accesso remoto al sistema e può rubare la password di amministratore e quella utente; inoltre, sarebbe in grado di registrare le combinazioni di tasti e di permettere l’accesso ai documenti condivisi.
Il Trojan sfrutta un bug una feature di Apple Remote Desktop che permette di farlo girare come amministratore e, una volta attivato, si aggiunge automaticamente agli elementi di login. Per farlo partire la prima volta, ovviamente, è necessario l’intervento dell’utente il quale deve prima scaricarlo ed infine avviarlo. Il consiglio di SecureMac, manco a dirlo, è di procedere subito all’aggiornamento del proprio anti-spyware MacScan, venduto a 29,99$. Per chi desiderasse tentare un approccio più “casareccio”, è possibile attuare qualche piccolo stratagemma.
Facendo copia/incolla nel Terminale della stringa che segue, verranno cambiati i privilegi del bundle dell’applicazione ARDAgent e ciò eviterà che il Trojan possa attivarsi. Tenete presente, però, che al primo aggiornamento - o alla prima riparazione dei privilegi - il problema si ripresenterebbe, ed inoltre potrebbero manifestarsi degli inconvenienti nell’uso del Desktop Remoto.
sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app
Un’altra soluzione, in attesa che Apple si decida a risolvere il problema, è di rimuovere o rinominare ARDAgent.app, ma è una via percorribile solo nel caso non abbiate necessità di essere controllati in remoto. Altrimenti, e forse è la considerazione più ovvia, il consiglio è di stare semplicemente attenti a ciò che si scarica e si esegue, consapevoli che nessuna Sistema Operativo è perfetto ed esente da minacce.