Detalles técnicos

• Nombre completo del virus: Trojan.MAC/Rsplug.E
• Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
• Plataformas afectadas: MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Alias:
  • OSX_RSPLUG.E (Trend Micro)

Arriba

Propagación

Capacidad de autopropagación: No

Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:

Arriba

Infección/Efectos

Cuando Rsplug.E se ejecuta, realiza las siguientes acciones:

Resto de acciones

Método de infección

El troyano llega como un archivo .DMG, es una imagen de archivo montada en disco en MAC OS X. Contiene un archivo .PKG con componentes de ficheros que pueden tener los siguientes nombres:

• Preinstalación - también detectada como OSX_RSPLUG.E
• Preactualización - también detectada como OSX_RSPLUG.E

Una vez que el troyano es intalado, muestra la siguiente pantalla de instalación:

Despues de la instalación, los siguiente archivos pueden aparecer en el sistema infectado:

• /cron.inst
• /i386
• /Library/Internet Plug-Ins/Mozillaplug.plugin
• /Library/Internet Plug-Ins/AdobeFlash

Mientras la instalación está en progreso, en segundo plano el virus ejecuta los siguientes scripts:

• Install.pkg\Contents\Resources\preinstall
• Install.pkg\Contents\Resources\preupgrade

Estas secuencias de comando son encontradas para ser ofucadas por el comando SED y UUEncoded. Si descodificamos, el código contiene lo siguiente:

La secuencia de comando se copia a sí mismo en la carpeta /Library/Internet Plug-Ins/AdobeFlash y crea una tarea programada que permite al código malicioso ejecutarse periódicamente cada cinco minutos.

También contiene secuencias de comandos embebidos en sí mismo. Se muestra un captura de estas secuencias de comandos.

Debajo se muestra una captura de pantalla de una secuencia de comandos PERL que envia sends una petición HTTP GET, para descargar otra secuencia de comandos PERL.

La secuencia de comandos es guardada en:

• \TMP\213.163.64.82/cgi-bin/generator.pl

Esta secuencia de comandos PERL tambien contiene datos ofuscados usando UUEncode y SED. La siguiente captura de pantalla muestra el código descodificado:

Una vez ejecutado, la secuencia de comando se conecta a las siguiente direcciones IP, como un servidor DNS primario, utilizado los comandos SCUTIL GET y SET commands:

• [eliminado].[eliminado].112.16
• [eliminado].[eliminado].112.180

Como resultado, los usuario pueden ser redirigidos a sitios de phishing o sitios donde otro código malicios puede ser descargado. La dirección IP puede cambiar, dependiendo de la secuencia de comandos descargada.

Arriba

Contramedidas