Opener: ecco come scoprire se siete stati colpiti

di |
logomacitynet696wide

Opener è l’ultimo pericolo per il Mac. Secondo Apple non è un virus e non è un worm, ma se avete la sfortuna di averlo sul vostro HD potrebbe provocarvi diversi guai. Ecco come scoprire se qualcuno o qualcosa l’ha installato sulla vostra macchina.

Nei giorni scorsi si era parlato non poco di Opener, con una certa soddisfazione da parte di molti che – vivendo su macchine flagellate da virus e worm di ogni tipo – erano contenti di poter condividere il male per goderne almeno a metà .

Apple ha puntualizzato che Opener non è né un virus né un worm ma un malware, cioè una applicazione “cattiva” non in grado di propagarsi o di infettare alcunché a meno che non venga eseguita dall’utente per errore. L’equivalente di postare l’accesso di Apple Remote Desktop su di una chat per crackers. Nonostante alcune software house (casualmente venditrici di software antivirus) insistano che non è vero e che Opener sia un virus, l’opinione di molti nella comunità  Mac sposano quella di Apple anche da un punto di vista tecnico.

C’è anche chi ha sviluppato un semplice modo, attraverso il terminale, per verificare se sia presente Opener, per meglio dire l’insieme di script, software e comandi contenuti nel pacchetto da installare sul Mac per regalarlo a qualche cracker.

Basta digitare sul terminale usando un account con poteri da amministratore: sudo ls -l /Users/*/Public/.info

Il comando sudo richiede la password dell’amministratore corrente, e serve a consentire di eseguire il comando successivo in tutte le Home presenti sul computer.

Il comando ls è assolutamente innocuo e serve a listare il contenuto di una directory. L’attributo -l serve per visualizzare l’output del comando in formato esteso (cioè in maniera più dettagliata).

Il percorso Users/*/Public/.info limita la ricerca che poi verrà  visualizzata ai file .info contenuti nella cartella Public di tutti gli utenti (l’asterisco come carattere jolly) della cartella Users. In questo modo la ricerca viene effettuata in tutte le cartelle Public di tutti gli utenti presenti sulla macchina, dove Opener installerebbe dei file .info.

Se il risultato è ls: /Users/*/Public/.info: No such file or directory, vuol dire che la macchina non è stata compromessa.

Un buon pirata informatico potrebbe rendere questa forma di analisi inefficace almeno in due modi: cancellando il comando ls e sostituendolo con un altro falso che non è in grado di eseguire questa operazione oppure che restituisce l’output segnalato prima anche se i file .info ci sono.

Oppure, potrebbe mutare le caratteristiche di Opener non facendogli lasciare traccia con .info nella cartella Public.