O novo cavalo-de-tróia, conhecido como OSX.RSPlug.A, foi recentemente identificado pela empresa Intego Security. A praga, que foi encontrada em sites de pornografia, é um DNSChanger — um programa que altera os endereços de Servidores de Nomes de Domínio (DNS) nos Macs.
De acordo com a própria Intego, o usuário, ao tentar assistir determinados vídeos, “clica” em imagens estáticas que direcionam para páginas com os seguintes dizeres:
Quicktime Player is unable to play movie file.
Please click here to download new version of codec.
Quando o usuário faz o download do arquivo do codec, na verdade, ele está baixando uma imagem de disco (.dmg
) que contém o próprio trojan. Ao montar a imagem de disco, sem querer, o usuário irá acionar automaticamente o Installer do aplicativo. O Installer irá solicitar a senha de administrador — aí que mora o perigo da história — que dá acesso com todos os privilégios para concluir a instalação.
Infelizmente, a praga é imperceptível quando se instala em máquinas rodando o Tiger. Já no Leopard, é possível ver sua presença nas preferências avançadas de rede, onde os DNS adicionais estão em cinza. Para remover a praga seu seu Mac, você pode utilizar o Intego VirusBarrier X4, o anti-vírus da Intego ou tentar você mesmo eliminar a praga seguindo as dicas desse artigo da Macworld.
Notem que isto não é um vírus para Mac. Apenas um aplicativo malicioso — que conta com a colaboração do usuário — que foi escrito para o Mac. Se o usuário tiver mais cuidado ao fazer downloads de site poucos confiáveis e instalar programas menos confiáveis ainda, ele não terá problemas desse tipo.