Intego, un produttore di soluzioni per la sicurezza, ha trovato tracce di un attacco trojan che prende di mira OS X. Il trojan, chiamato OSX.RSPlug.A, si nasconde sotto alle sembianze di un codec video che finge di dare accesso al solito filmato per adulti. Pare che gli autori abbiano sparso link a questo file nei forum dedicati al sistema operativo Apple.
Questo “simpatico” trojan appartiene alla categoria dei DNS charger, malware che ridirigono l’utente su siti di phishing quando cercano di accedere a siti commerciali specifici come PayPal e certe banche. Si tratta del primo vero software malizioso rivolto ai computer con la meletta, visto che i precedenti erano soltanto esercizi di stile non dannosi (come del resto la maggior parte dei virus rivolti verso i sistemi UNIX/Linux). In ogni caso, questo tipo di software per essere efficace vi deve chiedere la password di amministratore, cosa che non fa quasi nessun programma. Se i trojan generalmente richiedono l’intervento dell’utente per funzionare, in questo caso praticamente viene preteso che il proprietario del computer prenda la pistola dalla cassaforte, la carichi e se la punti alla tempia.
La Symantec non ha molta fiducia nella Intego, e il suo portavoce ha sostenuto che “[Quella compagnia] ha la tendenza ad esagerare le cose per fare sensazione”. La McAfee invece ha fatto sapere di aver effettivamente individuato il trojan, e che esso si sparge sia attraverso i siti per adulti che siti fasulli di codec.
Ps. Ovviamente alla Intego sostengono che il loro antivirus, dal costo non esattamente popolare di 84 euro (avete letto bene!), funziona già contro questa minaccia. Siccome non sono affatto disposto a spendere una cifra completamente fuori di senno per un singolo, tristissimo trojan, starò in attesa che aggiornino l’antivirus gratuito e open source ClamXav e ve lo farò sapere immediatamente.
Aggiornamento ore 10:07: Per capire se si è infetti, fate partire il Terminale, e scrivete:
sudo crontab -l
Vi chiederà la password di amministratore. Dovrebbe rispondere con una lista vuota, ma se dovesse apparire:
* * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
Purtroppo per voi, siete infetti.
I commenti sono chiusi.