É uma realidade que a utilização do Mac SO X está a crescer e, com isso, o foco para o desenvolvimento de malware sofisticado para esta plataforma ganha outra expressão.
De acordo com a empresa de segurança F-Secure, existe um novo trojan para Mac. O malware em causa tem como designação OSX/Flashback.C e a sua acção prende-se com o desactivar das actualizações do sistema de protecção inserido há algum tempo no Mac OS X, o XProtect.
O vírus primeiro decifra os caminhos dos ficheiros XProtectUpdater e descarrega o XProtectUpdater daemon. Depois re-escreve os ficheiros activos do XProtectUpdater por uns com caracteres em branco e re-escreve também a plist e binário para o XProtectUpdater.
Este processo apaga determinados ficheiros e impede os updates automáticos do XProtect, gerados pela Apple no futuro. Esta acção, como é óbvio, deixa o Mac OS X vulnerável a ataques desenvolvidos no futuro suportados nesta brecha de segurança. Este é um procedimento conhecido noutros sistemas, mas será este o primeiro dedicado a neutralizar o XProtect.
Como resolver o problema?
Desinfecção
Instruções para remoção manual
- Faça um scan de todo o sistema e tome nota de todos os ficheiros detectados
- Remova as seguintes entradas
- <key>LSEnvironment</key><dict><key>DYLD_INSERT_LIBRARIES</key>
<string>%path_of_detected_file_from_step_1%</string></dict>
- Situam-se aqui:
- /Applications/Safari.app/Contents/Info.plist
- /Applications/Firefox.app/Contents/Info.plist
- Apague todos os ficheiros detectados
O comportamento dos utilizadores deve ser também preventivo e pró-activo, sabendo de certa forma precaver determinados focos de perigo e evitar comportamentos de risco, tendo em conta que a maior parte desses Trojans chegam até ao utilizador na forma de falsos instaladores do Flash Player.
A Apple ainda não se pronunciou, e espera-se em breve uma actualização do sistema para aniquilar esta tentativa de intrusão nos sistemas de protecção Mac OS X.
Veja aqui informação adicional para este problema.