Hace unos días hablamos en faq-mac del problema que suponen los troyanos relacionados con el adware. Periódicamente aparecen nuevas «campañas» intentado infectar a los usuarios con este tipo de software malicioso y durante este fin de semana parece ser que se ha puesto en marcha una de esas campañas.
El problema aparece casi siempre cuando te acercas a una página de descargas de contenidos dudosos y la inyección se realiza a través de la modificación del código de esa página detectando que tu navegador pertenece al Mac o a través de un banner construido maliciosamente.
Inmediatamente eres redirigido a una página y se empieza descargar de forma automática una imagen dmg llamada mplayerX.dmg. No hay que confundir esta imagen con el software legal y legítimo mplayer, un extraordinario software OpenSource para la reproducción de películas cuyo dominio es mplayerx.org.
Esta es la imagen de la web falsa, que hace referencia a un dominio llamado www.macfilesdownload.com
El troyano descargado es del tipo adware, insertando diferentes extensiones en el navegador y varios elementos para que Launchd los ejecute al iniciar sesión. Es del tipo VidX y la estructura de trabajo es muy similar.
El dominio asociado a este troyano es mrlmedia.net, cuyo whois está protegido pero del que hay múltiples referencias en internet como dominio asociado a troyanos de adware.
Al abrir la imagen dmg el instalador te solicitará la contraseña de administrador al ejecutarlo. NO LO HAGAS. No instales el software. Tira inmediatamente la imagen mplayerX a la Papelera y vacíala.
Medida preventiva:
Añadir mrlmedia.net en /etc/hosts
127.0.0.1 mrlmedia.net
A tomar por… la paginita, como pubted.com y otras
El otro dominio , macfilesdownload.com de ahí se descarga.
Sí, lo añadí también…
Curioso que es uno, he buscado la «medida preventiva» que Pablo indica en #1.
Los pasos serían éstos (por favor, corregidme si me equivoco):
– Abrir la aplicación Terminal (en Utilidades) y escribir: [i]sudo nano /etc/hosts[/i]
– Ésto abrirá el archivo localhosts, por lo que el sistema te pedirá la contraseña de administrador)
– Utilizar la dirección de loopback ([i]127.0.0.1[/i]) para las páginas que queramos bloquear, de este modo (una por línea):
[i]127.0.0.1 http://www.nombrepagina.com[/i%5D
– Cuando hayas terminado con la lista de páginas a bloquear, pulsar [i]ctrl+x[/i]. Guardar (con la opción «[i]y[/i]») y pulsar intro.
– Para OSX Leopard en adelante, teclear: [i]sudo dscacheutil –flushcache[/i]
– Salir de la aplicación Terminal
Ahora bien, la Wikipedia recomienda usar «una dirección IP inválida como una máscara de subred ([i]255.255.255.0[/i])» en lugar de la dirección de loopback ([i]127.0.0.1[/i]), de este modo:
[quote]#Dominios de Internet bloqueados
255.255.255.0 http://www.paginabloqueada1.com http://www.paginabloqueada2.com
255.255.255.0 http://www.paginabloqueada3.com[/quote%5D
Más información aquí:
[url]http://es.wikipedia.org/wiki/Archivo_hosts#Bloquear_contenidos_de_Internet[/url]
Como decía, si hay algo que no sea correcto corregidme sin reparos. Lo expuesto anteriormente es un compendio de lo encontrado en varias páginas que hablan sobre el tema, además de la propia entrada de la Wikipedia ; )
#4 yo uso el loopback para tener referencia directa de que un elemento se ha bloqueado. Me permite, por ejemplo, granularizar finamente si una página supuestamente legal tiene referencias a mi lista negra de dominios y marcarla como «poco segura».
Gracias Carlos. Entiendo también por tu respuesta que el «minitutorial» es correcto ; )
Yo uso desde hace años Little Snitch, que me avisa (y permite actuar) de todas las conexiones salientes del ordenador.
Hola, y si les deje ingresar. Como los quito los adware.
Con esto:
http://www.adwaremedic.com/index.php
Un saludo