Alerta de seguridad: Troyano de mlrmedia y macdownloadfiles

Hace unos días hablamos en faq-mac del problema que suponen los troyanos relacionados con el adware. Periódicamente aparecen nuevas «campañas» intentado infectar a los usuarios con este tipo de software malicioso y durante este fin de semana parece ser que se ha puesto en marcha una de esas campañas.

El problema aparece casi siempre cuando te acercas a una página de descargas de contenidos dudosos y la inyección se realiza a través de la modificación del código de esa página detectando que tu navegador pertenece al Mac o a través de un banner construido maliciosamente.

Inmediatamente eres redirigido a una página y se empieza descargar de forma automática una imagen dmg llamada mplayerX.dmg. No hay que confundir esta imagen con el software legal y legítimo mplayer, un extraordinario software OpenSource para la reproducción de películas cuyo dominio es mplayerx.org.

Esta es la imagen de la web falsa, que hace referencia a un dominio llamado www.macfilesdownload.com

Imagen de la web que autodescarga el Troyano

El troyano descargado es del tipo adware, insertando diferentes extensiones en el navegador y varios elementos para que Launchd los ejecute al iniciar sesión. Es del tipo VidX y la estructura de trabajo es muy similar.

El dominio asociado a este troyano es mrlmedia.net, cuyo whois está protegido pero del que hay múltiples referencias en internet como dominio asociado a troyanos de adware.

Al abrir la imagen dmg el instalador te solicitará la contraseña de administrador al ejecutarlo. NO LO HAGAS. No instales el software. Tira inmediatamente la imagen mplayerX a la Papelera y vacíala.

9 Comments

  1. jocoloso

    Curioso que es uno, he buscado la «medida preventiva» que Pablo indica en #1.
    Los pasos serían éstos (por favor, corregidme si me equivoco):

    – Abrir la aplicación Terminal (en Utilidades) y escribir: [i]sudo nano /etc/hosts[/i]
    – Ésto abrirá el archivo localhosts, por lo que el sistema te pedirá la contraseña de administrador)
    – Utilizar la dirección de loopback ([i]127.0.0.1[/i]) para las páginas que queramos bloquear, de este modo (una por línea):
    [i]127.0.0.1 http://www.nombrepagina.com[/i%5D
    – Cuando hayas terminado con la lista de páginas a bloquear, pulsar [i]ctrl+x[/i]. Guardar (con la opción «[i]y[/i]») y pulsar intro.
    – Para OSX Leopard en adelante, teclear: [i]sudo dscacheutil –flushcache[/i]
    – Salir de la aplicación Terminal

    Ahora bien, la Wikipedia recomienda usar «una dirección IP inválida como una máscara de subred ([i]255.255.255.0[/i])» en lugar de la dirección de loopback ([i]127.0.0.1[/i]), de este modo:

    [quote]#Dominios de Internet bloqueados
    255.255.255.0 http://www.paginabloqueada1.com http://www.paginabloqueada2.com
    255.255.255.0 http://www.paginabloqueada3.com[/quote%5D

    Más información aquí:
    [url]http://es.wikipedia.org/wiki/Archivo_hosts#Bloquear_contenidos_de_Internet[/url]

    Como decía, si hay algo que no sea correcto corregidme sin reparos. Lo expuesto anteriormente es un compendio de lo encontrado en varias páginas que hablan sobre el tema, además de la propia entrada de la Wikipedia ; )

Deja una respuesta