Intego ha lanzado una alerta de seguridad en la que indica que se está empezando a desplegar un Troyano que afecta a los ordenadores de Apple usando una estrategia de descarga. El troyano ha sido detectado en varios sites pornográficos, sites que están siendo anunciados en foros y webs sobre Mac en los que se indica que se ofrecen descargas gratuitas de películas para adultos.

El método de infección pasa por el intento de descarga de una película: al hacer click en ella se solicita la instalación de un codec para verla. Si aceptamos (y no tenemos correctamente configurado Safari) el troyano (install.pkg) se autoinstalará, solicitando la contraseña de administrador y accediendo como Root (super-administrador). Por supuesto no se instalará ningún Codec y el usuario será redirigido a la web donde se le indicará que tiene que volver a descargar el Codec.

EL Troyano, una variante de DNSCharger, usa un sofisticado método vía el comando Scutil para modificar el servidor DNS del Mac. Cuando este nuevo DNS está activo, las peticiones a ciertos sitios serán redirigidas a sitios dedicados al robo de datos bancarios, contraseñas, etc (eBay, Paypal, etc) o a páginas dedicadas a la pornografía.

El troyano añade más una tarea Crontab que se ejecuta cada minuto que revisa si se han hecho modificaciones en los servidores DNS y reinstala los servidores maliciosos incluso si se cambia de ubicación o de tipo de conexión de red.

Existen diferentes versiones del troyano: las repetidas descargas de la imagen con la aplicación maliciosa muestran diferentes versiones del software.

Más información sobre el comando Scutil y Crontab en Apple.

Bajo Mac OS X 10.4 Tiger no hay manera de saber si se ha modificado el servidor DNS de forma gráfica. Bajo Mac OS X 10.5 Leopard es posible verlo en las preferencias avanzadas de Red, aunque es imposible modificarlo.

Este Troyano, que viene del ecosistema Windows desde el año 2005, tiene el nombre de Puper.

Como evitar el Troyano

La mejor manera de evitar el troyano es no descargar software de terceros de páginas no consideradas como seguras y configurar Safari de manera que no pueda abrir y/o instalar ninguna aplicación.

Para ello, en las preferencias de Safari, deberemos desmarcar la opción de apertura de archivos seguros al descargarlos:

Si no estamos seguros si hemos descargado ese instalador, podemos hacer una búsqueda en Spotlight por install.pkg. Mac OS X guarda una referencia de todo el software instalado en librería > Receipts, donde podremos comprobar que ese instalador no ha sido ejecutado verificando además la fecha.

Comprobar si estamos infectados

La mejor manera de comprobar si hemos sido infectados en ir a Library > internet Plug-ins y buscar el archivo plugins.settings. Si lo tienes, estás infectado, aunque es posible que en diferentes versiones del troyano este nombre varíe.

Para asegurar, lo mejor es comprobar tanto las tareas de Cron como Scutil. Para ello abriremos el Terminal, que está en Aplicaciones > Utilidades y teclearemos el siguiente comando (copia y pega):

sudo crontab -l

Se nos pedirá la contraseña del administrador que deberemos introducir.

Si obtenemos una respuesta similar a esta:

* * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1

donde plugins.settings puede variar de nombre, pero la ruta de archivo /Library/Internet Plug-Ins/ es la misma, estamos infectados.

El Leopard, podemos comprobar además las DNS usando el comando scutil

Solo tendremos que abrir el Terminal y escribir scutil, pulsar retorno de carro y escribir el siguiente comando en el terminal (copiar y pegar)

show State:/Network/Global/DNS

y recibiremos una respuesta que se parecerá a esta:

{
ServerAddresses : {
0 : 10.0.1.1
}
}
>

Si en Leopard, las DNS que tenemos en las opciones avanzadas de red coinciden con los resultados que nos ofrece el terminal, no tenemos DNS "añadidas".

Para salir de Scutil solo tenemos que escribir exit

Eliminar el Troyano

Si estás infectado, es posible retirar el Troyano con un poco de trabajo en el Terminal. Los pasos serían los siguientes:

1. Como por defecto Mac OS X no incluye ninguna tarea Contrab para el Root, la tareas que nos aparezca con esa ruta específica apuntando a /Library/Internet Plug-Ins/ nos dirá el nombre del archivo malicioso, aunque no use el nombre plugins.settings. Para ello usaremos el terminal escribiendo:

   sudo crontab -l

   La respuesta nos dirá la ruta de archivo que debemos mirar para borrar el correspondiente archivo:

   * * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1

2. Después borraremos la tarea Cron escribiendo en el terminal:
   sudo crontab -r
   Y escribiendo la contraseña de administrador cuando se nos solicite.

Una vez hecho esto deberemos reiniciar y, en todo caso, volver a comprobar usando los pasos arriba mencionados que ya no tenemos encima tan molesto inquilino.