En el mundo Mac no hay tanto malware como para Windows, pero es de idiotas negar la evidencia de que sí, existe. Los usuarios menos experimentados pueden ser engañados de diferentes formas para acabar instalando troyanos de todo tipo y este es el caso de VidX, un troyano también conocido como DownLite.
Bajo cualquiera de estos dos nombres (e incluso, alguno más) este troyano se instala utilizando ingeniería social, haciendo pensar al usuario que está instalando un códec especial de vídeo o un programa “ligero” para descargar torrents. Para empezar, y al respecto del vídeo, debes saber una cosa: existe un Consejo Negro al respecto de las películas pirateadas que decide que formato se va a utilizar de forma que sea lo más accesible para la gente (ya que en la accesibilidad de los contenidos se encuentra su modelo de negocio, que pueda ser visto por la mayor cantidad de gente y obtener así muchas impresiones publicitarias) por lo que jamás utilizan códecs propietarios de ningún tipo. A lo largo de estos últimos años han huido, incluso, de DivX para saltar a H.264. Pero esta es otra historia y tenemos que volver sobre el troyano.
Este troyano tiene la particularidad, además, de que está compilado usando las herramientas de Apple e incluye la firma de código de un desarrollador certificado de Apple. Evidentemente, este desarrollador será falso (y estará pagado con una tarjeta de crédito robada) por lo que Gatekeeper, el sistema de filtrado de aplicaciones de Apple, es incapaz de deshabilitarlo e impedir su instalación. Apple aparentemente no ha hecho nada al respecto cuando ese desarrollador y su certificado debería estar revocado hace mucho tiempo. El problema es que una vez revocado, posiblemente se creará otro desarrollador falso y se seguirá distribuyendo el troyano bajo un nuevo certificado. Deberes para Apple, que tiene que cambiar la forma en la que gestiona la veracidad de las cuentas para desarrolladores que se dan de alta.
Este troyano está pensado para sobrecargar al usuario con publicidad y tiene una arquitectura que incluye extensiones para diferentes navegadores, una carpeta con archivos de soporte y varios Agents y Daemons. Al respecto de estos procesos y archivos tienes este tutorial de faq-mac para aprender más.
Hay un orden específico para la eliminación de todos estos archivos. El proceso es hacer triple clic en cada una de las rutas que van a continuación, invocar el menú contextual y en Servicios elegir “mostrar en el Finder”:
/Library/Application Support/VSearch
/Library/LaunchAgents/com.vsearch.agent.plist
/Library/LaunchDaemons/com.vsearch.daemon.plist
/Library/LaunchDaemons/com.vsearch.helper.plist
/Library/LaunchDaemons/Jack.plist
/Library/PrivilegedHelperTools/Jack
/System/Library/Frameworks/VSearch.framework
Elimina todos estos archivos, si existen, enviándolos a la Papelera, pero no la vacíes todavía. Es posible que necesites utilizar la contraseña del administrador.
A continuación abre Safari, Chrome y Firefox y desinstala las correspondientes extensiones. En Safari es a través de Preferencias > Extensiones. Elimina las que no necesites y aquellas que lleven en la descripción la palabra Spigot o estén relacionadas directamente con VidX o DownLite. Si no estás seguro, restaura completamente el navegador. Exactamente lo mismo tanto para Chrome como para Firefox.
Vacía la Papelera ahora. Si no te deja, reinicia y vacía la Papelera.
SI crees que tienes problemas con Troyanos (y causas justificadas para pensarlo) puedes dejar un post en los foros o visitar The Safe Mac, que incluye interesantes recursos contra malware y Adware para Mac. (inglés)
Muy eficaz el artículo. Tenía el ordenador tan infectado que no la publicidad hacía odiosa la navegación
Aunque ya eliminé del ordenador el programa Xvid que me no paró de dar problema con la publicidad por todas partes, ahora el programa sigue haciendo intentos de reactualizació. ¿Cómo hacer para eliminarlo del todo? Te agradecería que me ayudara alguien. Gracias. El artículo muy útil.
Dame un toque por mensaje privado y hablamos.
Hola Carlos. Muy interesantes tus artículos. Me han servido mucho. He limpiado un portatil siguiendo tus indicaciones. Sin embargo, en otro imac de sobremesa tire el programa DivX a la papelera. He intentado borrar todo todo rastro del malware, y sin embargo desde hace mucho me sigue pidiendo que actualice el programa, lo que yo interpreto es que todavía sigue alojado en alguna carpeta misteriosa.
Gracias por esta página que me ayuda a estar enganchado a mac.
por favor ayuda!! tengo ese bendito troyano en mi mac, lo borre y esta en la papelera al solicitar la eliminación de la misma me sale un anuncio que indica que esta en uso el ítem “VSearchAgente”
como lo hago para borre por completo de mi maquina? por favor ayuda urgente, gracias
Hola, Carlos.
Muchas gracias por tu ayuda. Siguiendo las indicaciones de tu post he conseguido solucionar mi problema y espero que sea para siempre.
Te comento: dos de los archivos (/Library/LaunchDaemons/Jack.plist y /Library/PrivilegedHelperTools/Jack) no los he encontrado, pero entiendo que eso quiere decir que no existían en mi Mac.
Un saludo.
María José
muchísimas gracias por la ayuda. Muy bien explicado y sencillisimo. Creí que nunca me quitaría el marrón de encima =D>