Scovare e rimuovere un AdWare !

On 13 Aprile 2014, in Malware, Sicurezza, by admin

Malware - Clipart - Rappresentazione graficaCome sapete la piattaforma OS X non soffre del problema dei virus che affligge da sempre il mondo Wintel, esistono però varie forme di malware che possono insinuarsi nel sistema a nostra insaputa, anche se con la nostra inconsapevole complicità. E’ quel che ci è capitato in questi giorni, abbiamo infatti scoperto di avere uno dei nostri Mac colpito da un Adware, un malware che si annida nei browser web per mostrare una gran quantità di banner pubblcitari e link testuali all’interno delle pagine che visitiamo. Il codice maligno è arrivato probabilmente tramite l’installazione di un programma che abbiamo, forse con leggerezza, volutamente installato, autorizzato, perchè credevamo svolgesse un determinato compito a noi utile. Le nostre indagini sono ancora in corso, il cerchio si sta stringendo, ma non vogliamo al momento puntare il dito contro un’App che potrebbe poi rivelarsi innocente. A questo punto vogliamo condividere con i nostri lettori una serie di informazioni utili alla ricerca della presenza di software di questo genere, ricerca volta alla loro eliminazione, dato che per loro natura la presenza si palesa immediatamente …

Prima di tutto puntualizziamo che non si tratta di virus, ricordiamo infatti che un virus si prende, si propaga ed attua le sue azione senza che l’utente debba intervenire in alcun modo. Un malware invece è codice malevole che si presenta sotto altre vesti, inserito nel codice di un software che scarichiamo volontariamente, magari attingendo a siti non conosciuti o seguendo le istruzioni di qualche finestra pop-up apertasi durante la navigazione di siti sconosciuti, software che autorizziamo perchè incosapevoli di ciò che stanno per mettere in atto.

E’ un pò la differenza che passa tra la visita dei ladri, che con effrazione entrano in casa nostra mentre dormiamo o siamo altrove, per depredarci l’appartamento, e gli addetti di qualche presunta società che ci suonano alla porta, si qualificano magari non esattamente per quel che sono, ci convincono a farli entrare in csa per poi cercare di venderci un prodotto o un servizio che a noi non interess (tipo: “Signora, siamo dell’ENEL, ci fa vedere al sua ultima bolletta così le applichiamo i nuovi sconti ?”).

Leggerezza, questo è il termine che deve essere attribuito al nostro comportamento se prendiamo un malware.

Tenete sempre a mente la regola numero uno … se non siete certi al 100% della correttezza di un messaggio ad esempio di tipo Pop-up, non cliccate nessuna autorizzasione, nessun pulsante “Scarica”, ma idetificate di cosa si tratta, digitate manualmente l’URL della società/sito/servizio di riferimento e procedete in questo modo alla ricerca e al download di un aggiornamento, di un componente aggiuntivo come un plug-in o un’estensione, sarete così certi di quel che fate ed eviterete di essere reindirizzati a siti che magari simulano di essere qualcos’altro.

Il nostro adware probabilmente è arrivato così, una finestra di PopUp che ci ha ingannato, convincendoci a cliccare il pulsante per scaricare la versione aggiornata di un plug-in che avevamo installato nel sistema. La nostra leggerezza è stata nel non individuare gli elementi che sempre ci sono, più o meno evidenti, ad indicare che qualcosa non torna. Un nome scritto in maniera leggermente diversa, qualche errore di grammatica, un’icona simile ma non identica all’originale.

Se non siete stati attenti, occorre procedere immediatamente all’individuazione e all’eliminazione dei file installati. Non sempre questa operazione è semplice, perchè alcuni malware sono programmati per evolversi nel tempo, cambiando il filename dei componenti installati o il percorso di installazione. Quella che segue però è la guida più aggiornata che siamo stati in grado di trovare. Fatene buon uso e aggiornateci se avete nuove informazioni da condividere o nuovi link da segnalare.

Abbiamo parlato di Adware, un malware specifico che si occupa di mostrare banner pubblicitari nelle pagine web dei nostri browser e link testuali, la nostra attenzione in questo articolo va quindi a questo tipo specifico di malware.

 

ESAMINARE LE ESTENSIONI DEI BROWSER
Questo è il primo passo, andare ad esaminare i componenti aggiuntivi dei nostri browser come plug-in ed estensioni.

Safari e Chrome
In Safari e Chrome le estensioni sono gestibili e visualizzabili all’interno delle Preferenze dell’applicazione, quindi Menù Safari > Preferenze > Estensioni o Menù Chrome > Preferenze > Estensioni.

Firefox
In Firefox dovete invece andare nel menù Strumenti, quindi Strumenti > Componenti Aggiuntivi, verificando poi sia le estensioni che i plug-in presenti.

Quel che dovete cercare sono elementi denominati come mostrato sotto in garssetto:

Codec-M – Visita FkCodec removal;
Yontoo and/or Torrenthandler – visita Yontoo removal;
Anything claiming to be Adobe Flash Player – visita ClickAgent removal;
ChatZum – visita ChatZum removal;
Searchme, Slick Savings, Amazon Shopping Assistant and/or Ebay Shopping Assistant – visita Spigot removal;
GoPhoto.it – visita GoPhoto.it removal;
Omnibar – visita Genieo removal;
savekeep, saVe keeep and/or suave keepo – visita Savekeep removal;
jollywallet cash back – visita Jollywallet removal.

Nel nostro caso si trattava di GoPhoto.it, che mostrava banner pubblicitari nelle pagine che visitavamo, trasformava parole e frasi del testo in link con finestre a comparsa e saltuariamente apriva vere e proprie finestre indesiderate. I banner pubblicitari erano identificabili per la dicitura “OnlineBrowserAdvertising”, e da quista stringa è partita la nostra ricerca.

 

ESAMINARE LA LIBRERIA
Alcuni AdWare installano LaunchAgents, che sono utilizzati per rendere il componente operativo in background. Occorre controllare la cartella LaunchAgents della libreria utente, le cartelle LaunchAgents, LaunchDaemons e Internet Plug-in della libreria di sistema, alla ricerca dei file sotto indicati:

~/Library/LaunchAgents
se presente eliminare il file com.codecm.uploader.plist – Visita FkCodec removal

/Library/LaunchAgents
qualsiasi file contenente la parola “genieo” – Visita Genieo removal
com.conduit.loader.agent.plist – Visita Conduit removal
qualsiasi file che comincia con “com.vsearch” – Visita DownLite removal

/Library/LaunchDaemons
Jack.plist, o qualsiasi altro file che inizi con “com.vsearch” – Visita DownLite removal

/Library/Internet Plug-Ins
zako.plugin – Visita ChatZum removal

 

ESAMINARE LE PREFERENZE DI SAFARI

Ultimo passo è quello di controllare le Preferenze di Safari, alla ricerca all’estrema destra della barra in altro di un’icona chiamata Glims – Visita Glims removal

Tagged with:  

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

La tua opinione è importante !

Hai idee o suggerimenti per migliorare Nonsolomac ? Facci conoscere la tua opinione, sarà per noi stimolo e spunto per i prossimi sviluppi del sito. Scrivi a

Archivio articoli

Siamo su MyAppleSpace !