OSX.RSPlug, um Trojan real para o OSX

1 11 2007

Em maio foi divulgado pela Sophos uma análise chamada SB/BadBunny-A – Worm – Sophos threat analysis que trata do primeiro worm para OpenOffice, de tabela sendo o primeiro worm multi-plataforma ele também atinge o MacOSX, porém ele como outros que surgiram eram apenas malware “proof of concept”, porém pela primeira ocorreu uma pequena mudança de cenário.

Para deixar os MacUsers inquietos, pero no mutcho, a Intego Security divulgou um alerta sobre o Trojan Horse OSX.RSPlug.A . Tudo bem que para fazer com que o OSX seja contaminado, via o velho golpe de “falso codec”, o usuário necessita baixar o malware e instalá-lo dando privilérgios de root, parece piada, mas é isto.

Mac installer

Diz a lenda, que este elefante rosa, torna-se imperceptível após instalado em máquinas com o OSX Tiger, se for analisado com as ferramentas nativas do Tiger e via Safari e no Leopard ele é perceptível verificando as preferências avançadas de rede, onde os DNS adicionais ficam cinza. Porém, isto não é verdade pois via shell é possível detectar e remover com certa facilidade, como pode-se observar no artigo How to detect—and remove—the OSX.RSPlug.A Trojan Horse

Porém os MacUsers continuam mais sortudos dos que os usuários Windows, pois estes ao visitarem estes websites de incrível conteúdo serão brindados – se caírem no golpe do “falso codec” – com uma variante do trojan Zlob, exatemente aquele responsável pela infecção Smitfraud.

A Intego, que parece estar promovendo um hype com este malware, sugere o Intego VirusBarrier X4, o anti-vírus da Intego. De qualquer forma, um usuário um pouco mais esperto não vai instalar softwares estranhos (mesmo que ele se disfarce de QuickTime) ainda mais solicitado por sites suspeitos. De qualquer forma, as ameças que podem surgir provenientes do OpenOffice podem ser bem mais perigosos do que este OSX.RSPlug.AMais detalhes sobre este elefante rosa, leiam esta análise do SANS Internet Storm Storm Center: DNS changer Trojan for Mac (!) in the wild[1] SB/BadBunny-A – Worm – Sophos threat analysis

[2] Trojan Horse OSX.RSPlug.A

[3] Zlob

[4] Intego VirusBarrier X4

[5] How to detect—and remove—the OSX.RSPlug.A Trojan Horse

[6] DNS changer Trojan for Mac (!) in the wild


Ações

Information

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s




%d blogueiros gostam disto: