Poper, el troyano para Mac, a fondo

Que no cunda el pánico; no hay nada mejor que conocer al enemigo para evitar su ataque. A continuación vamos a explicar cómo funciona el troyano de marras, como prevenirnos de él y como saber si estamos infectados.

La manera como se instala el troyano en nuestro Mac es mediante descarga; el anzuelo que se utiliza consiste en supuestos  links de descarga de películas para adultos, que aparecen en varios foros de usuarios y sitios web especializados en los productos de la empresa de la manzana.

Cuando hacemos clic para descargar las películas se pide permiso para descargar un códec. En caso de tener el navegador Safari mal configurado se descargará el troyano, se instalará de forma automática solicitando la contraseña de administrador y tendrá vía libre como root del sistema.

El resultado es que el programa modifica las DNS de nuestro Mac, que redirigen nuestras peticiones on-line a sitios donde predomina el robo de datos bancarios, passwords de diversos sites que manejan operaciones financieras o a páginas con contenido para adultos. Además el programa se asegura cada minuto que no se han hecho modificaciones en las DNS, e incluso se reinstala si se cambia de ubicación o de tipo de conexión.

Saber si estamos infectados, eliminar el troyano, y medidas de prevención ante él, siguiendo el enlace.

Para comprobar si estamos infectados, hay que ir a Library > internet Plug-ins y localizar el archivo plugins.settings. Si no lo encuentras, no hay infección. Si lo encuentras estás infectado, y el nombre puede variar dependiendo de la versión del troyano. Para estar totalmente seguros deberemos recurrir al Terminal, en Aplicaciones > Utilidades; una vez ahí, teclearemos el siguiente comando:

sudo crontab -l
Una vez introducida la contraseña de administrador, podríamos recibir una respuesta como esta:
* * * * * “/Library/Internet Plug-Ins/plugins.settings”>/dev/null 2>&1
plugins.settings, como apuntábamos antes, puede nombrarse distintamente, pero la ruta de archivo /Library/Internet Plug-Ins/ es la misma; en este caso, estaríamos infectados.

Para comprobar las DNS mediante Leopard podemos recurrir al comando scutil en el Terminal; simplemente escribimos scutil en la pantalla, y a continuación, el siguiente comando:
show State:/Network/Global/DNS
y la respuesta obtenida no debería diferir de esta:
{
ServerAddresses : {
0 : 10.0.1.1
}
}
>
Ahora simplemente se trata de comparar la DNS del Terminal con la DNS que aparece en las Opciones Avanzadas de Red; si coinciden, no hay infección. El comado exit en el Terminal nos sacará de Scutil.

Para eliminar el Troyano también echaremos mano del Terminal; lo abrimos, y tecleamos el comando:
sudo crontab –l
Lo que obtengamos nos dirá la ruta donde se encuentra el archivo que debemos borrar; recordar que no tiene porque ser pluggins.settings, y que la respuesta debería ser tal que así:
* * * * * “/Library/Internet Plug-Ins/plugins.settings”>/dev/null 2>&1
A continuación eliminamos el archive mediante el commando…
sudo crontab –r
… que no se ejecutará hasta que no introduzcamos la contraseña de administrador. Un reinicio y una nueva comprobación mediante los pasos ya citados deberían bastar para asegurarse que hemos eliminado el troyano.

Evitar el troyano pasa por el sentido común y no descargar a lo loco de paginas no seguras, y dar unos sencillo toques a Safari. En las preferencias del navegador, debemos desmarcar la opción de apertura de archivos seguros al descargarlos.
Y, en caso de duda, siempre podemos utilizar las búsquedas que nos brinda Spotlight intentando encontrar el archivo install.pkg, o echar un ojo a la carpeta Receipts situada dentro de Librería, donde se registra todo el software instalado en nuestro ordenador, con fecha incluida.

Vía: Faq-Mac