Nuevo troyano para Mac OS X (OSX/Jahlav-C)

Applex

Activo
OSX/Jahlav-C es el nombre de un nuevo troyano que se acaba de descubrir camuflado como un códec de vídeo por el equipo de ParetoLogic. Por lo que se ha visto, el troyano está asociado a una web llamada PornTube y pedía permiso al usuario para instalarse como un códec de vídeo.

Si el usuario acepta la instalación de ese falso códec de vídeo (cuyo nombre es “AdobeFlash”) se crea un script el el directorio /Librería/Internet Plug-Ins, que se ejecuta periódicamente y contiene, dentro del script, otro script realizado en Perl que se comunica con una web de terceros descargando datos maliciosos.

Según la fuente, otros archivos susceptibles a este troyano son HDTVPlayerv3.5.dmg, VideoCodec.dmg, FlashPlayer.dmg, MacTubePlayer.dmg, macvideo.dmg, License.v.3.413.dmg, play-video.dmg y QuickTime.dmg.
 

uzmi

Activo
Recorto... copio y pego

Para comprobar si estamos infectados, hay que ir a Library > internet Plug-ins y localizar el archivo plugins.settings. Si no lo encuentras, no hay infección. Si lo encuentras estás infectado, y el nombre puede variar dependiendo de la versión del troyano. Para estar totalmente seguros deberemos recurrir al Terminal, en Aplicaciones > Utilidades; una vez ahí, teclearemos el siguiente comando:

sudo crontab -l

Una vez introducida la contraseña de administrador, podríamos recibir una respuesta como esta:
* * * * * “/Library/Internet Plug-Ins/plugins.settings”>/dev/null 2>&1
plugins.settings, como apuntábamos antes, puede nombrarse distintamente, pero la ruta de archivo /Library/Internet Plug-Ins/ es la misma; en este caso, estaríamos infectados.


Para eliminar el Troyano también echaremos mano del Terminal; lo abrimos, y tecleamos el comando:

sudo crontab –l

Lo que obtengamos nos dirá la ruta donde se encuentra el archivo que debemos borrar; recordar que no tiene porque ser pluggins.settings, y que la respuesta debería ser tal que así:
* * * * * “/Library/Internet Plug-Ins/plugins.settings”>/dev/null 2>&1
A continuación eliminamos el archive mediante el commando…

sudo crontab –r

… que no se ejecutará hasta que no introduzcamos la contraseña de administrador. Un reinicio y una nueva comprobación mediante los pasos ya citados deberían bastar para asegurarse que hemos eliminado el troyano.
 

Phoenix

New member
Cada vez tenemos que tener mas cuidado los usuarios de MacOSX ahora que se esta extendiendo tanto el sistema por ahi. En fin hay que ir con cuidado.
 

quinquilin

New member
Pues ya empiezan

Asi como ha subido el uso tambien empezaran los virus, no era muy usado, no habia tantos ataques..... ni hablar, a tratar de protegerse...............
 
Arriba