duotono noticias del mundo mac y más

  • Aumentar fuente
  • Fuente predeterminada
  • Disminuir fuente
Home - Virus y Troyanos en Mac Os X - El Troyano OSX.RSPlug.A

El Troyano OSX.RSPlug.A

Lunes, 23 de Marzo de 2009 16:16 administrador
E-mail Imprimir PDF

El troyano OSX.RSPlug.A cambia la configuración de DNS local para
la redirección a servidores DNS malintencionados

Descripción: Se ha detectado un troyano maligno en varios sitios web pornográficos, que solicita la instalación de un códec de vídeo necesario para visualizar vídeos pornográficos gratuitos en el Mac. Numerosos foros de Mac han recibido gran cantidad de spam en un intento por atraer usuarios a estos sitios. Cuando los usuarios llegan a uno de estos sitios web, encuentran fotos de vídeos pornográficos famosos, y al hacer clic en dichas fotos con la intención de poder ver los vídeos, llegan a una página web con el siguiente mensaje:

Quicktime Player no puede reproducir esta película.
Haga clic aquí para descargar una nueva versión del códec.

Una vez que la página se carga, se descarga automáticamente en el Mac del usuario un archivo de imagen de disco (.dmg). Si el usuario ha seleccionado “Abrir archivos ‘seguros’ al descargarlos” en el panel de preferencias General de Safari (o ajustes similares en otros navegadores), la imagen de disco se montará y el paquete de instalación que contiene abrirá el instalador. En caso contrario, si el usuario desea instalar este códec, deberá hacer doble clic en la imagen de disco para montarla y, a continuación, en el archivo del paquete, denominado “install.pkg”.

Si el usuario prosigue con la instalación, el troyano se instala. Dado que la instalación requiere una contraseña de administrador, el troyano obtiene además privilegios completos de administrador.  No se instala ningún códec de vídeo y, si el usuario regresa al sitio web, simplemente visitará la misma página web y volverá a descargar un archivo.

Este troyano, una variación del DNSChanger, utiliza un método sofisticado, por medio del comando “scutil”, para cambiar el servidor DNS del Mac (el servidor que se emplea para hallar las correspondencias entre nombres de dominio y direcciones IP de sitios web y otros servicios de Internet). Cuando este nuevo y malintencionado servidor DNS está activo, captura algunas peticiones web, conduciendo a los usuarios hasta sitios web de “phishing” (suplantación de identidad) que se hacen pasar por entidades como Ebay, PayPal y algunos bancos, o simplemente hasta páginas que muestran anuncios de otros sitios web de pornografía. En el primer caso, los usuarios pueden pensar que se encuentran en sitios legítimos e introducir un nombre de usuario y contraseña, un número de tarjeta de crédito o un número de cuenta, que serían capturados por los responsables de la página. En el segundo caso, parece que la única intención consiste en generar ingresos procedentes de la publicidad.

En Mac OS X 10.4 no existe ningún modo de ver el servidor DNS cambiado desde la interfaz gráfica del sistema. En Mac OS X 10.5, esto puede verse dentro del panel Avanzado del panel de preferencias Red, donde los servidores DNS añadidos aparecen sombreados y no pueden eliminarse manualmente. (Intego está realizando pruebas con versiones anteriores de Mac OS X, aunque es probable que también hayan podido quedar infectadas, dado que todas las versiones de Mac OS X cuentan con el comando “scutil”.)

El troyano también instala una función “crontab” como root, que realiza una comprobación cada minuto para ver si su servidor DNS permanece activo. Dado que un cambio en la ubicación de la red podría cambiar el servidor DNS, esta tarea programada se asegura de que, en un caso así, el servidor DNS malintencionado siga siendo el servidor activo.

Este troyano también proporciona diferentes versiones de sí mismo, quizá en función del país en que se encuentre el usuario, con el fin de ofrecer contenidos apropiados para el país en cuestión. Al descargar repetidamente la imagen de disco se observa que existen numerosas versiones distintas.

Modo de protección: La mejor forma de protegerse de esta amenaza consiste en ejecutar Intego VirusBarrier X4 con su definición de virus correspondiente al 31 de octubre de 2007. Intego VirusBarrier X4 erradica el código maligno y evita que el troyano pueda instalarse. Intego recomienda que los usuarios no descarguen ni instalen nunca software procedente de fuentes que no sean de confianza o de sitios web de dudosa legitimidad. 

 

Última actualización el Lunes, 23 de Marzo de 2009 16:43  

Menú principal

Enlaces Útiles

GESDUO V9 Light (demostración) Mac
Versión de demostración de la aplicación de gestión Gesduo V9 LIGHT. para Mac. Si te interesa la versión pc ponte en contacto con nosotros info@duotono.com Es un archivo comprimido en Zip, ocupa 31Mb. Descomprimir y utilizar doble click al icono Gesduo V9.
POSICIONAMIENTO EN BUSCADORES
Hablando con pequeños empresarios de distintos sectores, nos damos cuenta de que la mayoría, disponen de una página web para su empresa y que casi ninguno de ellos está haciendo negocios con clientes llegados de INTERNET. Lo cual provoca que...
THUNDERBIRD
Un buen programa de correo electrónico GRATUITO, para MAC,WINDOWS y LINUX
Servidor FTP Gratuito
Aquí teneis un servidor de FTP, fácil de instalar, fácil de utilizar y que funciona perfetamente y GRATIS.
DivX
Aquí puedes encontrar los CODECS, el Player e incluso el Converter.
Acrobat Reader
Descarga la última versión de Adobe Reader
Bittorrent
Un programa p2p para realizar descargas de archivos que permite que la descarga sea compartida, es decir, los usuarios que estén descargando ese mismo archovo, a través de la red BitTorrent, también colaboran transmitiendo las partes que ya hayan descargado.
Filezilla Cliente FTP Mac, Windows, Linux
Un buen cliente ftp GRATUITO, para Mac OSX, para Windows y para Linux.
Cyberduck Cliente FTP Mac
Un cliente ftp GRATUITO, para Mac OSX
Firefox
Descarga, para Mac o para Windows, el navegador Firefox. Una buena opción
de DUOTONO!

Busca en Google


Patrocinadores

Banner
Banner
Banner
Banner

Buscador - Empresas
DIRECTORIO BUSCADOR - EMPRESAS
Guia Mundial
Directorio de empresas internacional
Directorio de Empresas
Directorio de empresas,Localempresa.com
Hispano Empresa
Hispano Empresa Directorio de empresas en Español

Newsflash

Fallo en la cuarentena de Mac OS X Leopard permite que los usuarios
abran archivos adjuntos malintencionados en Mail

 Descubierto: 20 de noviembre de 2007

Descripción: Mac OS X 10.5 Leopard incorpora un sistema de “cuarentena” que alerta a los usuarios cuando tratan de abrir aplicaciones recibidas a través de Mail, Safari o iChat, o que procedan de imágenes de disco obtenidas mediante dichos programas. También alerta a los usuarios la primera vez que abren cualquier otra aplicación que hayan instalado o añadido manualmente a su carpeta Aplicaciones. Este sistema debería informar a los usuarios de todos los casos en los que se abran ese tipo de archivos ejecutables, pero un fallo en el sistema de cuarentena, descubierto por Heise Security el 20 de noviembre de 2007, puede permitir que los usuarios abran archivos adjuntos potencialmente maliciosos desde Mail.

El principio tras este sistema es la base de datos LaunchServices de Leopard, que registra todas las aplicaciones o archivos ejecutables que se añaden a un Mac. No obstante, cuando algunos adjuntos ejecutables llegan por correo electrónico, esta protección no funciona correctamente. El ejemplo de prueba de concepto en este momento es un script de shell en un archivo con una extensión .jpg. El archivo también contiene información tal como una bifurcación de recursos, señalando con qué aplicación debería abrirse (en este caso, Terminal). Además, el archivo cuenta con los permisos de ejecutabilidad necesarios.

Dentro de Mail, este archivo muestra un adjunto con un icono JPEG que indica que se abrirá con Vista Previa. Sin embargo, al intentar visualizar el archivo con Quick Look se observa que no se trata de un archivo de imagen: