Si chiama OSX.RSPlug.A, ed è il primo trojan horse per Mac OS X. A dare l’allarme è stata la Intego un popolare produttore di soluzioni per la sicurezza.
OSX.RSPlug.A, riuscirebbe a modificare il DNS del Mac allo scopo di reindirizzare le ricerche su internet a siti hard oppure a false pagine di login (PayPal, PostePay e Banche) con lo scopo di rubare i dati personali del malcapitato.
Il virus si diffonde nella maniera più tradizionale, dietro alcuni siti pornografici e si nasconde in un ipotetico codec (fasullo) che prometterebbe la visione di un contenuto multimediale. Nel caso l’opzione “Apri i file sicuri” sia spuntata nel browser preferito, verrà lanciato senza pietà, ma richiede comunque l’inserimento della password di amministratore. McAfee ha confermato l’esistenza del trojan, mentre Symantec afferma che preferisce non ingigantire la questione soltanto per fare notizia.
Un comando dal terminale può verificare l’esistenza del cavallo di troia sul proprio Mac: sudo crontab -l, verrà richiesta la password di amministratore, ed il messaggio no crontab for root ci potrà rasserenare, mentre l’eventuale messaggio /Library/Internet Plug-Ins/plugins.settings”>/dev/null 2>&1 confermerebbe l’infezione, a quel punto basta eliminare il file plugins.settings responsabile del cambio dei DNS (si trova in Library/Internet Plug-Ins) riavviare e svuotare il cestino.
Arrivano anche gli avvisi formali da us-cert.gov e da isc.sans.org.