• Registrarse
  • Iniciar sesión


  • Resultados 1 al 1 de 1

    Nueva amenaza para plataformas MAC que simula ser MacCinema

    Puper.A Troyano para plataformas Mac que simula ser una aplicación de nombre "MacCinema". Modifica la configuración de DNS para que el sistema utilice unos servidores DNS maliciosos. METODO DE ELIMINACION 1. Elimine los siguientes ficheros: ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Malware Nueva amenaza para plataformas MAC que simula ser MacCinema

      Puper.A

      Troyano para plataformas Mac que simula ser una aplicación de nombre "MacCinema".
      Modifica la configuración de DNS para que el sistema utilice unos servidores DNS maliciosos.

      METODO DE ELIMINACION

      1. Elimine los siguientes ficheros:
      * /Library/Internet Plug-Ins/AdobeFlash
      * /Library/Internet Plug-Ins/Mozillaplug.plugin

      2. Elimine la copia del código malicioso que se encuentra en la siguiente carpeta:
      * /Library/Receipts

      3. Restaure la configuración del DNS del servidor comprometido.

      Peligrosidad: 2 - Baja

      Difusión: Baja

      Daño: Alto

      Dispersibilidad: Bajo

      Fecha de Alta:27-03-2009
      Última Actualización:27-03-2009


      Nombre completo: Trojan.OSX/Puper.A
      Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
      Plataforma: [OSX] - Macintosh OS X
      Alias:OSX/Puper.a (McAfee)


      MÉTODOS DE INFECCIÓN Y EFECTOS

      Cuando se ejecuta Puper.A en el sistema comprometido aparece una ventana como la de la imagen, que informa de la instalación de un producto llamado "MacCinema" :



      Si el usuario elige continuar le solicita información sobre la carpeta donde desea realizar la instalación y continuación le solicita las credenciales, como se muestra en la siguiente imagen:



      El troyano se ejecuta con los permisos de las credenciales introducidas.

      Puper.A copia a continuación los siguientes ficheros en el sistema comprometido:

      * /Library/Internet Plug-Ins/AdobeFlash
      * /Library/Internet Plug-Ins/Mozillaplug.plugin

      Además realiza una copia de su propio código en la siguiente carpeta:

      * /Library/Receipts

      Modifica además la configuración de los servidores DNS utilizados en el sistema comprometido, cambiando los servidores por alguno de los siguientes:

      * 85.255.112.210
      * 85.255.112.99

      Modifica también el "crontab" del sistema comprometido para ejecutar el script "/Library/Internet Plug-Ins/AdobeFlash". Al ejecutar un comando "crontab -l" en el sistema comprometido, una de las líneas que aparece tendrá el siguiente contenido:

      * */5 * * * "/Library/Internet Plug-Ins/AdobeFlash" vx 1>/dev/null 2>

      Método de Propagación

      Puper.A no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.

      Fuente
      Última edición por Herrante fecha: 27/03/09 a las 12:39:23
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.