Il finto Word 2004 che cancella file in Mac OS X

di |
logomacitynet696wide

Sul circuito di Gnutella è in circolazione un finto installer di Word 2004 capace di cancellare l’intera directory “Inizio”. Apple tranquilla: “Questi sono i rischi del download di file illegali”. Ma Intego, dopo quello per MP3Concept, torna a suonare allarmi.

A distanza di poco più di un mese dal caso “MP3Concept”, è di nuovo allarme per la sicurezza Mac. A mettere a rischio gli utenti della piattaforma un “cavallo di troia” che fingendo di essere un installer di Word 2004 è in grado di cancellare tutti i file della directory “Inizio” (Home nella versione inglese del sistema operativo).

La notizia dell’esistenza del malware, che è stato denominato AS.MW2004 è stata la rivista inglese on line MacWorld, allertata da un lettore che l’ha scaricata dal circuito di Gnutella. «Una volta cliccato l’installer – dice l’anonimo lettore – in 10 secondi questo ha completamente ripulito da ogni file la mia cartella “Inizio”». Una volta messo sotto la lente d’ingrandimento AS.MW2004 rivela di essere un applet AppleScript il cui scopo è proprio quello che attua: la cancellazione di file.

AS.MW2004 (icona qui a fianco)

è, dunque, al contrario di MP3Concept, un pericolo reale. Una volta lanciato non si limita ad aprire iTunes per riprodurre il suono di una risata, ma è capace di causare danni seri. Ma nonostante questo si deve essere ancora molto cauti prima di parlare di vero e proprio pericolo o, peggio, di virus.

Similmente a MP3Concept, infatti, AS.MW2004 non è virus e neppure a qualche cosa di simile ai trojan horse molto diffusi in ambiente PC. Non è in grado di diffondersi autonomamente e di autoreplicarsi, ma deve essere scaricato e lanciato con piena coscienza da parte dell’utente. In aggiunta a questo il file è presente solo su circuiti dove chi scarica software dovrebbe avere ben presente che corre qualche rischio, sia questo legale, quando si tratta di prodotti coperti da copyright, sia questo di sicurezza.

Difendersi, dunque, è piuttosto facile. Basta non scaricarlo e non lanciarlo. Impossibile essere colpiti per sbaglio come accade in ambiente PC con i virus che corrono per posta elettronica o, addirittura, si intrufolano nelle porte lasciate aperte dal sistema operativo quando la macchina è connessa ad Internet.

Una puntualizzazione in questo senso giunge da Apple. “Non si tratta di un virus, non si propaga da solo ed è stato trovato solo sulle reti peer to peer. Si tratta di un esempio dei rischi che si corrono quando si va alla ricerca di software illegale”.

Molto più preoccupate, invece, suonano le dichiarazioni di Intego. La società  francese non solo è l’unica software house specializzata in sicurezza ad avere già  aggiornato il suo antivirus VirusBarrier, ma ha costruito intorno ad AS.MW2004 un apparato (da un comunicato stampa ad una serie di FAQ ) che non appare fatto per essere tranquillizzante. Addirittura secondo Intego “Questo cavallo di troia evidenzia una seria debolezza di Mac OS X. Poiché è costruito intorno su fondamenta Unix può eseguire potenti comandi in maniera molto facile. Questi comandi possono cancellare o danneggiare i file dell’utente senza alcun avviso”.

Ricordiamo che Intego era stata già  protagonista di infuocate polemiche al momento della scoperta di MP3Concept. Il cosiddetto “virus” che si rivelò poi essere semplicemente un esperimento noto da settimane negli ambienti degli sviluppatori, venne portato alla luce da un comunicato della stessa Intego che anche allora aggiornò il suo VirusBarrier. In quel contesto molti criticarono la scelta di suonare un allarme apparso ai più esagerato, in particolare nei toni. Allora Intego non poté evitare le accuse di avere semplicemente colto l’opportunità  per rivitalizzare il business degli antivirus che in ambiente Mac è decisamente asfittico. Accuse che è probabile che possano tornare a farsi sentire anche in questo caso.