Skip to content

Alerta: Troyano OSX.RSPlug.A afecta a todas las versiones de Mac OS X

Publicado por Sergio Hernando el 31 octubre 2007

Buenas,

Tenemos novedades en el campo del malware. Que otro sistema que no sea Windows protagonice noticias de troyanos es siempre una noticia relevante, sobre todo porque por lo poco frecuente que resulta encontrar malware orientado a otras plataformas.

En este caso le ha tocado a Mac. Han anunciado la creación de un troyano específicamente diseñado para sistemas operativos Mac OS. Hasta el nuevo Leopard es un potencial receptor de este bicho.

De momento, hay quien opina que es de riesgo crítico. Yo me limitaré a contaros que el troyano se está diseminando, cómo no, fingiendo ser un códec necesario para visualizar contenidos pornográficos. Cuando se intenta acceder a esos sitios maliciosos, el navegador muestra mensajes de error del tipo:

Quicktime Player is unable to play movie file.
Please click here to download new version of codec.

Evidentemente, los que pensábais mal teníais razón. lo que se descarga no es un códec. Es un troyano. La instalación requiere permisos de administrador, con lo que el troyano gana privilegios de root. Es una variante del DNSChanger, lo que resulta fácil intuir que el troyano convierte las DNS locales en DNS envenenadas mediante el comando scutil, adulterando el servidor local de DNS que tiene Mac OS. Estos cambios en DNS redirigen al usuario a sitios maliciosos que simulan banca y comercio online, y que están albergados en los servidores maliciosos dispuestos a tal efecto, con la finalidad de usurpar al usuario confiado sus credenciales.

Además de este pharming, el troyano muestra banners publicitarios que tienen que ver con sitios pornográficos, y cuya visita repercute en ingresos para quienes ofrecen los enlaces. El problema es que scutil está presente en todas las versiones de Mac OS X, con lo que a priori, son todas susceptibles de infección. Adicionalmente, y por si no fuera poco, el troyano instala un crontab para asegurarse que el servidor DNS sigue en pie ante eventuales cambios en la configuración de red. Se han detectado versiones segmentadas en idioma y hábitos, en función a los países de origen y destinatarios del malware. Canela fina.

Usuarios de Mac, precaución extrema. Los de Intego recomiendan pasar su programa Virus Barrier para resolver la papeleta en sistemas infectados. Desconozco otras posibles soluciones en el momento de publicar esta alerta. La única recomendación es tener los antivirus al día, y evitar la navegación por sitios pornográficos (sé que a más de uno le costará) y de poca confianza.

Si algún usuario de Mac dispone de algún "workaround" o solución para las infecciones, que nos deje un comentario. Más de uno lo agradecerá.

Saludos,

Be Sociable, Share!

Categoría/s → Alertas, Malware

3 comentarios
  1. 2 noviembre 2007

    Workarround: Ser usuario raso en el sistema y que para instalar una app o lo que sea (Como cambiar una configuración de red) se requieran credenciales. Una vez más y como en Windows, mal uso de lo que se tiene delante? PICNIC

  2. 5 noviembre 2007

    Te han enlazado desde MobuzzTV :D

Trackbacks & Pingbacks

  1. DaboBlog » Cuidado con el porno maqueros, troyano OSX.RSPlug.A afecta a Mac OS X

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS