OSX.RSPlug.A è il nome esatto di una delle prime serie minacce alla sicurezza dell’ambiente Mac OS X: è stato scoperto e reso noto dalla società specializzata in sicurezza Intego il 31 ottobre dello scorso anno. Sempre da Intego oggi un nuovo comunicato allerta il mondo Mac circa la scoperta di una nuova variante dello stesso cavallo di troia questa volta battezzato OSX.RSPlug.D.
Gli esperti di sicurezza Intego dichiarano che il comportamento e gli effetti prodotti dal cavallo di troia sono rimasti invariati nelle due versioni del trojan horse, mentre nell’ultima variante individuata è stato modificato il sistema di installazione. Si tratta di un downloader che contatta il server remoto per scaricare i file da installare: la procedura, nota Intego, potrebbe essere utilizzata in futuro per scaricare altri file rispetto a quelli attuali.
Ricordiamo che la minaccia si diffonde prevalentemente tramite i siti pornografici: l’utente è avvisato con un messaggio in cui si comunica un errore ActiveX. In pratica si avvisa che il file video selezionato non può essere riprodotto e si consiglia l’utente a scaricare il componente Video ActiveX Object mancante. A questo punto viene scaricato un file dmg il cui nome può cambiare. Se l’installazione viene portata a termine viene sostituito il server DNS utilizzato dal Mac per il collegamento a Internet, reindirizzando la macchina colpita verso siti pornografici e anche siti in cui vengono rubate password e altre informazioni personali. Per una descrizione completa dei pericoli e dell’attacco rimandiamo a questo articolo di Macity.
Il comunicato Intego informa inoltre che è possibile proteggersi da questa minaccia con il programma VirusBarrier X5 della stessa Intego, grazie a un aggiornamento del database dei virus rilasciato proprio oggi. Macity ha parlato di VirusBarrier X5 in questo articolo.
