Il trojan si diffonde, come detto, mascherato da file PDF che mostra un documento in lingua cinese allo scopo di nascondere le proprie attività dietro le quinte. Secondo quanto si legge sul blog di F-Secure, il centro di controllo remoto di questa backdoor sarebbe una semplice installazione Apache, ma attualmente il backdoor non comunica con alcunché.
Allo stato attuale delle cose la minaccia non sembra essere particolarmente grave, ma la situazione potrebbe cambiare se il file dovesse diffondersi in maniera numericamente consistente. I ricercatori di F-Secure stanno ora indagando sulle modalità di diffusione di questo trojan. L'ipotesi più accreditata è la normale circolazione sotto forma di un allegato email.
Per verificare se il sistema sia stato infettato dalla backdoor è sufficiente aprire l'applicazione "Monitoraggio attività" e, come spiega la stessa F-Secure, controllare se nell'elenco dei processi in esecuzione sia presente il processo "checkvir". In caso di riscontro positivo, chiudere il processo e cancellare i file /users/%user%/library/LaunchAgents/checkvir e /users/%user%/library/LaunchAgents/checkvir.plist, dopodiché riavviare il sistema.
Il miglior consiglio, tuttavia, è quello di accettare e scaricare file PDF solamente di provenienza certa, onde prevenire l'eventuale infezione.
Via Hwfiles
Nessun commento:
Posta un commento