Apple — український блоґ

Вірус був виявлений на деяких порносайтах, де намагаючись продивитися безкоштовне відео, видається повідомлення, що необхідно завантажити потрібний кодек. Образ диска DMG сам завантажується, далі він монтується на робочому столі, після чого «кодек» починає встанавлюватися.

Під час інсталяції необхідно ввести пароль адміністратора, після чого шкідник отримує повноцінний контроль над системою. Після цього «троян» прописує на Мас новий DNS-сервер, який всі запити на eBay, Paypal та ін. Інтернет-банки перенаправляє на их фальшиві «дзеркала». Таким чином, якщо ви на цьому псевдо-eBay введете свої дані, то вони будуть надіслані зловмисникам. Окрім цієї біди на вас чекає ціла купа реклами, яка з’являється скрізь і невідомо звідки.

Для версії MacOS X 10.4 справи ще гірші. Оскільки система не пропонує жодних засобів для редагування та перегляду запису DNS-сервера.

Intego рекомендує не відвідувати сайти з порнографічним змістом, а також не завантажувати з них жодних утиліт, які вимагают адміністративного доступу.

Якщо ж ви все-таки підхопили цю заразу, то її можна видалити вручну:

1. Відкрийте Finder та зайдіть до каталогу /Library -> Internet Plug-Ins. Там необхідно видалити файл plugins.settings (не забудьте очистити Корзину);
2. У терміналі введіть sudo crontab -r, після чого введіть пароль адміністратора. Цим ви знищите процес, який віжповідає за перевірку налаштувань DNS-сервера;
3. Тепер відкрийте налаштування мережі в System Preferences та перейдіть до поля адреси DNS-сервера. Після цього повторно введіть у ньому ту адресу (чи декілька адрес), які ви бачите, та натисніть Apply;
4. Перезавантажте систему.

Однак, дуже важко назвати OSX.RSPlug.A Trojan Horse троянською програмою. Адже користувач сам вказує пароль адміністратора, а тим більше сам інсталює шкідника. Проте, це справи не виправляє. будьте уважні, та не відвідуйте «цікаві» сайти!

Джерело: Intego.