Steve Jobs muestra interés sobre el movimiento Fon

4Nov 07

Poper, el troyano para Mac, a fondo

Swebloo

Que no cunda el pánico; no hay nada mejor que conocer al enemigo para evitar su ataque. A continuación vamos a explicar cómo funciona el troyano de marras, como prevenirnos de él y como saber si estamos infectados.

La manera como se instala el troyano en nuestro Mac es mediante descarga; el anzuelo que se utiliza consiste en supuestos links de descarga de películas para adultos, que aparecen en varios foros de usuarios y sitios web especializados en los productos de la empresa de la manzana.

Cuando hacemos clic para descargar las películas se pide permiso para descargar un códec. En caso de tener el navegador Safari mal configurado se descargará el troyano, se instalará de forma automática solicitando la contraseña de administrador y tendrá vía libre como root del sistema.

El resultado es que el programa modifica las DNS de nuestro Mac, que redirigen nuestras peticiones on-line a sitios donde predomina el robo de datos bancarios, passwords de diversos sites que manejan operaciones financieras o a páginas con contenido para adultos. Además el programa se asegura cada minuto que no se han hecho modificaciones en las DNS, e incluso se reinstala si se cambia de ubicación o de tipo de conexión.

Saber si estamos infectados, eliminar el troyano, y medidas de prevención ante él, siguiendo el enlace.

Para comprobar si estamos infectados, hay que ir a Library > internet Plug-ins y localizar el archivo plugins.settings. Si no lo encuentras, no hay infección. Si lo encuentras estás infectado, y el nombre puede variar dependiendo de la versión del troyano. Para estar totalmente seguros deberemos recurrir al Terminal, en Aplicaciones > Utilidades; una vez ahí, teclearemos el siguiente comando:

sudo crontab -l
Una vez introducida la contraseña de administrador, podríamos recibir una respuesta como esta:
* * * * * “/Library/Internet Plug-Ins/plugins.settings”>/dev/null 2>&1
plugins.settings, como apuntábamos antes, puede nombrarse distintamente, pero la ruta de archivo /Library/Internet Plug-Ins/ es la misma; en este caso, estaríamos infectados.

Para comprobar las DNS mediante Leopard podemos recurrir al comando scutil en el Terminal; simplemente escribimos scutil en la pantalla, y a continuación, el siguiente comando:
show State:/Network/Global/DNS
y la respuesta obtenida no debería diferir de esta:
{
ServerAddresses : {
0 : 10.0.1.1
}
}
>
Ahora simplemente se trata de comparar la DNS del Terminal con la DNS que aparece en las Opciones Avanzadas de Red; si coinciden, no hay infección. El comado exit en el Terminal nos sacará de Scutil.

Para eliminar el Troyano también echaremos mano del Terminal; lo abrimos, y tecleamos el comando:
sudo crontab –l
Lo que obtengamos nos dirá la ruta donde se encuentra el archivo que debemos borrar; recordar que no tiene porque ser pluggins.settings, y que la respuesta debería ser tal que así:
* * * * * “/Library/Internet Plug-Ins/plugins.settings”>/dev/null 2>&1
A continuación eliminamos el archive mediante el commando…
sudo crontab –r
… que no se ejecutará hasta que no introduzcamos la contraseña de administrador. Un reinicio y una nueva comprobación mediante los pasos ya citados deberían bastar para asegurarse que hemos eliminado el troyano.

Evitar el troyano pasa por el sentido común y no descargar a lo loco de paginas no seguras, y dar unos sencillo toques a Safari. En las preferencias del navegador, debemos desmarcar la opción de apertura de archivos seguros al descargarlos.
Y, en caso de duda, siempre podemos utilizar las búsquedas que nos brinda Spotlight intentando encontrar el archivo install.pkg, o echar un ojo a la carpeta Receipts situada dentro de Librería, donde se registra todo el software instalado en nuestro ordenador, con fecha incluida.

Vía: Faq-Mac

Apple Store: tu mejor opción, sin duda.

¿No has encontrado lo que buscabas?

aplicaciones, DNS, EMI, Fon, internet, Mac OS X Leopard, PC, Puper, sim, Spotlight, Terminal, utilidades

Gemelos de camisa estilo iPhone,… si tienes la pegatina Apple en tu coche, te gustarán

Prueba la nueva entrega de Bento, la 3, completando el formulario en la página web de FileMaker

Alerta sobre el malware contra Mac oculto en códecs | SomosMac 24 Noviembre 2007

[...] última moda son los denominados DNSChangers, rebautizados a menudo como Poper sobre los que ya hablamos, que no dejan de ser troyanos ocultos dentro de códecs necesarios para la correcta visualización [...]

Como eliminar el troyano para Mac que cambia las DNS | SomosMac 10 Enero 2008

[...] acordáis del troyano que analizamos a fondo en este post? Pues leo en appleismo que SecureMac ha publicado una herramienta que detecta y elimina dicho [...]

JuanCar 12 Enero 2008

Pues quitando esa herramienta he visto por primera vez la pantalla de pánico en mi iMac

Responde a este comentario

Localiza posibles rootkits en tu OS X con Rootkit Hunter | SomosMac 25 Enero 2008

[...] que parece que el OS X tiene diversos fallos de seguridad sobretodo en lo que a BSD se refiere, nunca está de mas tener a mano una herramienta que te [...]

lara 1 Septiembre 2008

Hola,pues no es el unico troyano,yo hace tiempo

compre una webcam ,la best buy easy webcam night

vision ,y la instale en mi ordenador sin tener

problemas ,pero empezo a irme muy mal el ordenador

hasta que me dejo practicamente de funcionar,y

tuve que formatear,instale todos los programas que

tenia otra vez, menos, los driver de la webcam,ya

que no me daba confianza,pero el otro dia me hacia

falta y por huevos la tuve que instalar,antes de

instalarla la pase con el antivirus y no detecto

nada ,pero al instalarla me dijo que tenia un

troyano y que denegaba el acceso,me fui a la

pagina de best buy para descargar los driver y

cual es mi sorpresa que alli los driver que tienen

para descargar tambien tiene troyano,yo pensaba

que solo seria de el cd por algun tipo de error,

pero no, no es asi ,y la gracia es cuando me pongo

en contacto con ellos y no me contestan ,me puse

en contacto con el servicio tecnico y me aseguran

que sus driver no tienen troyanos,y que lo que

debo hacer es,atentos!!!desinstalar el antivirus e

instalar los driver para que no haya

problamas,claro!!,que si desinstalo el antivirus

no va haber problemas ya que no hay nada que

detecte su troyano,esto es una verguenza!!!!!!!!!!

son unos….. bueno, el caso que no dan soluciones

y no me arreglan nada, ahora no puedo usar la

webcam ya que sin driver no me lo reconoce el

ordenador,lo malo es que estamos desprotegidos

cuando pasa algo asi ,ya que se lavan las manos y

no hacen ni caso.
lo unico que me queda es avisar a futuros

compradores que no se compren la webcam :
best buy easy webcam night vision viene con un

TROYANO!!y no te solucionan nada ,yo no me vuelvo

a comprar nada de la marca best buy nunca mas

viendo lo visto,a saber en cuantos productos han

metido troyanos
un saludo

GERARDO GARCIA 23 Noviembre 2008

Que tal, gracias por la información, al parecer no tengo esta aplicación, pero tengo una duda. A veces que prendo la mac me pide que la reinicie al abrir un programa, y esto me ha pasado hasta en varias ocasiones y hasta 3 veces seguidas, ¿alguien sabe a qué se debe esto?, ¿alguién puede pasarme un tip, o ayudarme?, Sé que nadie tiene tiempo para resolverle los problemas a todo el mundo, pero les agradecería mucho si alguien pudiera contestarme, no sé mucho de computadoras, y apenas me estoy iniciando con la Mac.

Saludos y gracias de antemano.

Alejandro González Blanco respondió el 14 Abril 2009

http//www.apple.com/la/

ahi te aclaran todo duda

Dersuuzalachillout 18 Julio 2009

Hola: ¿Como puede uno hacer un respaldo (back up) de los programas (.app) ya instalados en un Mac por si se daña el disco duro? Se podría copiar la carpeta de Aplicaciones con todo su contenido en un hd externo y restituirla tal cual? ¿o se haría con los .dmg? …porque si no estoy errado, back up y copiar, en el fondo es lo mismo, ¿no?