Secondo quanto si legge su MacNN, sembrerebbe ci sia un nuovo rischio per i possessori di Mac. Il pericolo sarebbe da individuare in un Trojan, composto da due malware, in grado di inviare screenshot, file personali, username utente e indirizzo MAC ad un server remoto.
La scoperta è stata resa nota da due aziende di sicurezza: F-Secure e Sophos. Il Trojan, inizialmente scoperto a Luglio, si basa su altri due malware per funzionare. Il primo, un downloader, identificato come “Trojan-Dropper:OSX/Revir.A“, non solo server a scaricare la seconda parte del Trojan, ma apre ripetutamente un documento PDF cinese “trojan.pdf“, in cui sarebbero contenute dichiarazioni politiche offensive. Il vero intento di questo documento è distrarre l’utente mentre l’altro malware viene scaricato.
La seconda parte del Trojan, “BackDoor:OSX/Imuler.A“, configura un launch agent che mantiene attivo il malware, inviando ad un server remoto nome utente ed indirizzo MAC. Il suddetto server sarebbe capace di inviare istruzioni ad un computer compromesso così da fargli archiviare file per l’upload o ad effettuare degli screenshot, sempre per l’upload. Secondo quanto affermato da F-Secure sembrerebbe che “Imuler.A” soffra attualmente di difetti di funzionamento, che lo rendono quasi, se non del tutto, inutilizzabile in quanto non vi sarebbero istruzioni da parte del server. La compagnia ritiene tuttavia che vi sia la possibilità che il server stesso si trovi in una fase di test, e che potrebbe in futuro diventare pienamente operativo.
Entrambe le aziende hanno provveduto ad aggiornare le definizioni dei propri scanner antivirus così da opporsi efficacemente al Trojan, a differenza di Apple che ancora non ha aggiornato le proprie per Snow Leopard e Lion. Dovrebbe tuttavia essere possibile, seguendo le istruzioni, rimuovere il Trojan autonomamente. Per fare ciò è necessario che gli utenti fermino un processo chiamato “checkvir” nel monitor di attività ed eliminare successivamente i file “checkvir” e “checkfir.plist” dalla directory /username/Library/LaunchAgents/.