Como resaltó F-Secure, el troyano conocido como “OSX.QHost.WB.A” se camufla como un instalador de Reproductor Flash, pero en realidad añade datos al archivo host del ordenador para redirigir a los usuarios que intentan visitar páginas de Google.
Una vez instalado, el troyano añade líneas al archivo host para que los usuarios que intentan llegar a Google sean redirigidos a la dirección IP 91.224.160.26, localizada en Holanda. El servidor presenta una falsa página que imita la de Google.
Las búsquedas realizadas en el falso Google conducen a ventanas pop-up que cargan contenidos externos, probablemente anuncios (ahora ya no funcionan). Aunque la amenaza tal y como estaba implementada era bastante suave, usuarios sin experiencia que instalaran el troyano podrían no darse cuenta de lo que había ocurrido y cómo arreglarlo.
Por eso Apple ha actualizado por primera vez, de manera significativa, su archivo “XProtect.plist”
desde los días del ataque de MacDefender, en Junio pasado.