Rsplug.E


Troyano para MAC OS, que se propaga a través de páginas maliciosas.

SOLUCIÓN MANUAL


* Si utiliza Mac OS X Leopard, y sabe cuándo se produjo la infección, puede usar la característica de 'Time Machine' para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración y se eliminarán todos los archivos que haya creado o descargado desde la fecha de la copia). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar la guía de MAC sobre TimeMachine.
*

En caso de que no pueda volver a un punto anterior de TimeMachine o no le funcione, siga estos pasos para la eliminación del virus:
1.Con un antivirus actualizado, localice todas las copias del virus en el ordenador. Si no dispone de antivirus, deberá adquirir un producto adecuado para OS X.

Elimine los siguientes ficheros:
o /cron.inst
o /i386
o /Library/Internet Plug-Ins/Mozillaplug.plugin
o /Library/Internet Plug-Ins/AdobeFlash

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
2. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus.
3. Restaure los valores por defecto de los servidores DNS.

Método de Infección/Efectos


El troyano llega como un archivo .DMG, es una imagen de archivo montada en disco en MAC OS X. Contiene un archivo .PKG con componentes de ficheros que pueden tener los siguientes nombres:

* Preinstalación - también detectada como OSX_RSPLUG.E
* Preactualización - también detectada como OSX_RSPLUG.E

Una vez que el troyano es intalado, muestra la siguiente pantalla de instalación:


Despues de la instalación, los siguiente archivos pueden aparecer en el sistema infectado:

* /cron.inst
* /i386
* /Library/Internet Plug-Ins/Mozillaplug.plugin
* /Library/Internet Plug-Ins/AdobeFlash

Mientras la instalación está en progreso, en segundo plano el virus ejecuta los siguientes scripts:

* Install.pkg\Contents\Resources\preinstall
* Install.pkg\Contents\Resources\preupgrade

Estas secuencias de comando son encontradas para ser ofucadas por el comando SED y UUEncoded. Si descodificamos, el código contiene lo siguiente:


La secuencia de comando se copia a sí mismo en la carpeta /Library/Internet Plug-Ins/AdobeFlash y crea una tarea programada que permite al código malicioso ejecutarse periódicamente cada cinco minutos.

También contiene secuencias de comandos embebidos en sí mismo. Se muestra un captura de estas secuencias de comandos.


Debajo se muestra una captura de pantalla de una secuencia de comandos PERL que envia sends una petición HTTP GET, para descargar otra secuencia de comandos PERL.


La secuencia de comandos es guardada en:

* \TMP\213.163.64.82/cgi-bin/generator.pl

Esta secuencia de comandos PERL tambien contiene datos ofuscados usando UUEncode y SED. La siguiente captura de pantalla muestra el código descodificado:



Una vez ejecutado, la secuencia de comando se conecta a las siguiente direcciones IP, como un servidor DNS primario, utilizado los comandos SCUTIL GET y SET commands:

* [eliminado].[eliminado].112.16
* [eliminado].[eliminado].112.180

Como resultado, los usuario pueden ser redirigidos a sitios de phishing o sitios donde otro código malicios puede ser descargado. La dirección IP puede cambiar, dependiendo de la secuencia de comandos descargada.

El troyano se descarga desde el servidor remoto:

* http://[Eliminado]exoteak.com/download/4e4c554750513d3de68d8c9820090602/QuickTime.dmg

También puede ser descargado, sin conocimiento, por un usuario cuando visita una página web maliciosa.

FUENTE: Alerta-Antivirus.es: Detalles del virus Rsplug.E