Для Mac OS X написан "троян"?


Компания Intego, выпускающая, помимо всего прочего, еще и антивирус для Мака, сегодня объявила об обнаружении крайне неприятного и опасного "трояна" для Mac OS X, получившего витиеватое название OSX.RSPlug.A Trojan Horse. Впрочем, насколько справедливо будет называть его "трояном"? Более близкое знакомство с ним показывает, что не все так просто.

Для начала полное описание OSX.RSPlug.A Trojan Horse. "Троян" был обнаружен на нескольких порногрфических сайтах (это к слову о том, куда не стоит ходить ;-) ), где при попытке просмотра бесплатного видео всплывает сообщение о необходимости загрузки бесплатного кодека. Образ диска DMG самостоятельно закачивается на машину жервы и если у пользователя указано авматически запускать безопасные файлы, то диск будет смонтирован на рбочем столе, а установщик "кодека" запущен.

Надо отметить, что при установке пользователю потребуется ввести административный пароль, после чего OSX.RSPlug.A Trojan Horse получает полные права над системой. И с этого момента начинается все самое интересное. "Троян" прописывает на Маке новый DNS-сервер, который все запросы на eBay, Paypal и другие Интернет-банки перенаправляет на их фальшивые "зеркала". Таким образом, если вы на этом псевдо-eBay введете свои регистрационные данные, они тут же будут отправлены злоумышленикам.

Другим негативным последствием OSX.RSPlug.A Trojan Horse является огромное количество рекламы, которое начнет показываться пользователю, буквально, на пустом месте.

Добавим, что для Mac OS X 10.4 все усугубляется еще и тем, что система не предлагает никаких стандартных средств для просмотра и редактирования записи DNS-сервера. В Mac OS X 10.5 их можно просмотреть в настройках сети, однако после смены адреса "трояном" он хоть и будет показан в параметрах, но изменить его штатными средствами не получится.

Рекомендации от Intego. Первая - не ходите там, где не следует и уж тем более, не загружайте оттуда никаких утилит, требующих административного доступа. Вторая - смотрите первый пункт.

Остается только один вопрос - насколько справедливо OSX.RSPlug.A Trojan Horse называть "трояном". Все таки пользователь сам вводит администраторский пароль, сам устанавливает его. Теперь нам будет о чем поспорить на форумах...

Если же вы успели "подхватить" заразу, то вручную ее можно удалить следующим образом:
  1. В Finder'e перейдите в папку /Library -> Internet Plug-Ins. Отсюда удалите файл plugins.settings (не забудьте очистить Корзину).
  2. В Терминале наберите sudo crontab -r, после чего введите пароль администратора. Этим "убьете" процесс, отвечающий за проверку настроек DNS-сервера.
  3. Теперь откройте настройки сети в System Preferences, перейдите к полю адреса DNS-сервера. После этого повторно наберите в нем тот адрес (или несколько адресов), которые видите, затем нажмите Apply.
  4. Перезагрузите компьютер.
Будьте бдительны!
Для Mac OS X написан новый троян?
Источник: Intego