Nuevo Troyano amenaza a los Mac
La compañía Intego ha emitido este pasado lunes un aviso de seguridad sobre la existencia de un nuevo Troyano llamado OSX.RSPlug.A que de forma específica ataca a los ordenadores Mac. Este troyano tiene como misión cambiar la dirección DNS (Domain Name Server) de nuestro ordenador.
Conforme a lo publicado por Intego, este troyano se ha encontrado en diferentes paginas web de contenido pornográfico a lo largo de la red. Cuando el usuario trata de ver un vídeo en formato Quicktime, aparece un aviso que indica que no puede visionarse por carecer del codec adecuado e invita al visitante a bajarse uno actualizado (No se te ocurra hacerlo). Si se ha cometido el error de bajar y ejecutar el archivo (.dmg), se instalará en el sistema con privilegios root, por lo que el troyano tendrá total acceso a los comandos y archivos del sistema, instalando unas DNS que interceptarán ciertas peticiones web (eje. eBay, Paypal etc), que apuntarán a páginas de contenido malicioso (phishing). El troyano también instalará un crontab en el root del sistema cuya misión es la de vigilar cada minuto que las DNS instaladas están activas. Además en caso de que se cambie de red y se adquieran nuevas DNS mediante DHCP, el crontab se encargará de que sigan activas.
Intego afirma que en el caso de que se utilice Mac OS X 10.4 (Tiger), no hay forma de detectar el cambio de DNS, mientras que si se utiliza Leopard, podrá comprobarse en Preferencias del Sistema- Red-Avanzado-DNS. Llegados a ese punto las DNS maliciosas aparecerán en color degradado y no podrán eliminarse manualmente.
Intego ha modificado su “virus definitions” con el fin de eliminar el código instalado y evitar que el troyano pueda infectar el sistema.
Vía: Macworld
Etiquetas: mac, troyanoArtículos relacionados
Leer los comentarios...
31.10.2007 9:29pm por 
Alberto Sagredo
No decían que en Mac no había virus?
31.10.2007 9:32pm por 
aripaco
No es un virus. Es un troyano. Es necesaria la intervención del usuario para que se active, a diferencia del virus. De todas formas, siempre habrá bichitos para cualquier sistema. Y el Mac no va a ser una excepción. Conforme se incremente la cuota de mercado, no tendremos más remedio que acostumbrarnos y proteger nuestras máquinas. Esto es un gran negocio…
31.10.2007 10:07pm por 
DonkeyG5
Mucho me temo que por muy avanzado que sea el antivirus de Intego no podrá hacer nada contra la estúpidez humana.
De todas formas esto no es nuevo. ¿Alguien se acuerda del latestpics.tgz? ¿a que no? pues eso, podéis estar tranquilos, la peor pieza de malware que existe para Mac se llama Windows Vista, y después de esta Norton Antivirus.
11.11.2007 8:11pm por 
Mikes
Hola.
Acabo de comprobarlo y… creo que lo tengo! He ido a las DNS y me aparecen dos degradadas y es imposible borrarlas. ¿Qué solución hay?
11.11.2007 10:15pm por aripaco
Probablemente las dos DNS que te aparecen corresponden a las que tienes definidas en el router ADSL. Entra en la página de administración de tu router y comprueba que sean las mismas que has visto en el Panel de Red de tu Mac.
Si fueran diferentes, la cosa es más complicada.
11.11.2007 10:25pm por Mikes
Lo único parecido que he encontrado en la configuración del router ha sido la pestaña: DDNS, y pone lo siguiente:
DDNS Service: Disable
Y se puede cambiar por DynDNS.org o TZO.com. ¿Como puedo comprobarlo?
Un saludo.
11.11.2007 10:30pm por aripaco
Tu ordenador probablemente estará configurado mediante DHCP. Esto significa que el router te facilita un IP privada de forma automática. Además en algún lugar (revísalo bien) del router, tu proveedor de internet te habrá configurado por defecto dos DNS, una primaria y otra secundaria. Por eso si en el Panel de Red de tu Mac, te aparecen dos direcciones DNS en color degradado, lo más probable es que esté tomando de forma automática las que estén configuradas en el router. Lo de DynDNS no tiene nada que ver. Una vez que lo encuentres comprueba que sean las mismas.. Como te dije si fueran diferentes es ya harina de otro costal. Espero lo soluciones. Saludos
12.11.2007 9:47am por Mikes
Hoy cuando he llegado a la oficina lo primero que he hecho ha sido comprobar si las DNS eran las mismas que las de ayer, y no es así, de tener dos degradadas ahora solo hay una degradada y diferente a las de ayer. ¿Eso es buena señal o me lo parece a mi?
