Troyano en Mac OS X

Informática, Tutoriales

La verdad, siempre pensé que con un ordenador Apple y el sistema operativo Mac OS X estaría a salvo de cualquier problema y virus, pero al parecer ya no es así.

La historia comienza cuando en mi ordenador portátil Apple Powerbook 15″ G4 1,33 GHz comienzo a percibir que cuando visitaba páginas web, al hacer click en hiperenlaces me aparecía detrás de la ventana del navegador Safari una ventana más pequeña con publicidad. En las últimas ocasiones la publicidad era de agencias de viajes online hasta otras diferentes más variopintas.

No le di mayor importancia porque pensé que en esas páginas web tendrían ese sistema de publicidad intrusivo que está tan de moda con el fatuo intento de ganar dinero rápido y malamente, pero en el momento en que verifiqué que tenía activado la opción de Safari de “Bloquear ventanas de aparición automática” fue cuando empecé a sospechar que algo no iba bien.

Safari. Bloquear ventanas de aparición automática.

Safari. Bloquear ventanas de aparición automática.

Pero lo que ya hizo que se me pusieran todos los pelos de punta fue cuando esa publicidad intrusiva y no deseada ocurría dentro de mis páginas webs. :O Más concretamente al hacer clicks en enlaces a artículos dentro de mi blog y con una aparición y recurrencia aleatoria.

Ya en ese instante saltaron todas mis alarmas y comencé a investigar por internet. Gracias a la opción de Safari de visualizar la ventana “Actividad” pude comprobar de qué páginas y dominios provenían esas publicidades.

Safari. Ventana Actividad.

Safari. Ventana Actividad.

Los dos dominios que copaban todas las apariciones publicitarias eran estos:

  • mtm5.goole.ws
  • popup.adv.net

Intenté visitar estas páginas para poder por lo menos poner una cara a quien me fastidiaba la navegación por internet pero no tuve suerte. Sólo obtenía páginas en blanco.

El siguiente paso fue consultar foros de ayuda de Apple y buscar en el conocido buscador Google.

En los foros de soporte de Apple no obtuve ninguna coincidencia con mi problema.

Con Google tuve un poco más de suerte. Llegué hasta la página web Bleeping Computer en donde en un post de su foro online una persona de habla inglesa exponía mi mismo problema. Los que le contestaron no conocían la solución pero le indicaron que chequeara su router, que cambiara la clave de acceso y que hiciera un “flush de las DNS.

En ese momento me vino una idea a la cabeza: ¿y si de alguna manera alguien interfería mis servidores de DNS y me enviaba hacia un intermediario lanzandome publicidad en ese tránsito y luego me llevaba a la página que yo había solicitado?

Lo primero que hice fue chequear las DNS de mi router. Al parecer estaban correctas. Eran las de Telefónica:

  • 80.58.61.250
  • 80.58.61.254

Por si acaso, cambié el password del administrador del router y lo actualicé a la última versión del firmware. En ese momento lo apagué y lo volví a encender.

Volví a navegar por internet (esta vez usando Safari y Firefox indistintamente) y de nuevo el mismo problema. Entonces la solución no había sido la correcta. El problema persistía. Si las DNS del router eran las correctas, ¿por qué me continuaba apareciendo publicidad?

Por curiosidad, resolví mirar la configuración de Red del OS X. Quizás allí algo se había modificado.

Preferencias Mac OS X

Preferencias Mac OS X

Vaya, por primera vez estaba en lo cierto, las DNS que había en las preferencias de Red no eran las mismas que las del router. Algo o alguien las estaba cambiando. Pero ¿cuándo lo hacía y cómo?

Las DNS que me aparecían eran las siguientes:

  • 85.255.113.133
  • 85.255.112.140

Lo único que me quedaba por intentar era hacer el “flush” de las DNS. Quizás así volverían a ser las del router. Buscando en internet la manera de hacer esto, me encontré en Host My Site unos comandos que hay que teclear en el Terminal de Mac OS X para realizar el “flush” de las DNS.

El comando que hay que introducir en Leopard es el siguiente:

dscacheutil -flushcache

Volví a mirar en las Preferencias de Red todo esperanzado y me llevé una gran desilusión, allí seguían las mismas DNS intrusas. 🙁

Ya no sabía qué hacer. Pensé en reinstalar todo el Mac OS X pero eso sería caer en la misma solución que los usuarios de Windows. Siendo un ordenador Apple tendría que existir una solución más elegante.

Continué buscando por internet y todos mis caminos llegaban al mismo cruce: tenía un Malware, Spyware o Adware en mi ordenador. 😯

Para confirmar mis sospechas tenía que hacer comparativa con otro ordenador en mi domicilio. Por suerte, estoy casado y mi mujer también usa un ordenador Apple. En ese caso un Macbook blanco comprado en enero de este año. Y lo mejor de todo, ella no tenía problemas con la publicidad intrusiva. Lo primero que hice fue mirar en sus Preferencias de Red. ¡Eureka! ella tenía las DNS correctas.

Configuración de Red en Mac OS X. Aquí podeis ver las DNS (estas son las correctas)

Configuración de Red en Mac OS X. Aquí podeis ver las DNS (estas son las correctas)

No cabía ya ningún lugar a dudas. Mi Powerbook estaba infectado.

Próxima etapa: conseguir un antivirus o algo que detectara ese Malware.

No conocía ninguno ya que nunca había tenido la necesidad de usar uno. Tampoco tenía ganas de tener que pagar por uno. Así que decidí buscar en la página web de Versiontracker, que es donde se encuentran casi todos los programas de Mac OS X existentes.

Mis palabras de búsqueda fueron “remove spyware adware” y al parecer tuve éxito.

El primer programa que me apareció en la lista fue MacScan 2.6.

Al poner “License: update” me olió a que era de pago. Así que pasé al siguiente en la lista. En ese momento mis ojos se abrieron como platos. Su nombre era: DNSChanger Removal Tool 1.1. La página del desarrollador era la misma que la del MacScan, y además era un programa gratuito.

Según la página web:

1.09.2008 News
SecureMac has released a free utility called DNSChanger Removal Tool to remove the DNSChanger Trojan Horse, also known as OSX.RSPlug.A and OSX/Puper, which has been found on numerous pornographic websites disguising itself as a video codec. Once downloaded and installed, DNSChanger changes the DNS settings on the computer, redirecting websites entered by the user to malicious sites. If personal information is entered on these malicious websites, it can lead to identity theft.

If the DNSChanger trojan horse is detected, DNSChanger Removal Tool will give you the option to remove it. If the DNSChanger trojan horse is detected and removed, you will need to restart your computer to clear out the bad DNS entries added by the DNSChanger Trojan Horse. Download DNSTrojan Removal Tool. This detection and removal is also available in MacScan.

Al parecer, tenía un troyano llamado DNSChanger Trojan Horse, también conocido como OSX.RSPlug.A y OSX/Puper. Según ellos este troyano se pilla en páginas pornográficas oculto en forma de un codec de video. Lo que me choca de todo esto es que yo en ningún momento había entrado en una página pornográfica y mucho menos me había descargado de allí codecs de vídeo, no soy tan insensato de descargarme nada de páginas que no confío o son sospechosas. Mi misterio continuaba en el aire, ¿dónde lo había pillado yo?. Además, a mi no me redireccionaba a ninguna web maliciosa, simplemente me aparecía publicidad diversa en ventanas por detrás de la ventana principal de mi navegador en la que aparecía siempre la web que yo había elegido ir. ¿Tendría yo una variante de ese troyano?

Mientras le daba vueltas a estos temas, me bajé corriendo el programa gratuito, y lo ejecuté.

DNSTrojan Remover Tool

DNSTrojan Remover Tool

En ese momento me informó que tenía el troyano y procedí a ejecutar la limpieza. No me dió ningún mensaje de error. Fui en ese momento corriendo a ver mis DNS de las Preferencias de Red y al fin, estaban correctas, igualitas que la del router. Parecía que todo se había solucionado.

Para comprobarlo con mayor seguridad, quedaba la prueba de fuego: navegar por internet. Estuve como 30 minutos con Safari y Firefox visitando todo tipo de páginas y no tuve ni una sóla ventana emergente de publicidad no deseada. Por lo tanto: problema resuelto. 🙂

5 Comments



5 Comentarios

  1. Luis dice:

    Gracias amigo por compartir tu experiencia, a mí me ha pasado igual.
    Habrá que dejar de ver p0rn en internet =D

  2. […] de mi experiencia con un troyano llamado DNSChanger Trojan Horse, ahora parece que ha surgido otro troyano en el […]

  3. […] virus, OSXPuper u DNSChanger (más info y limpiador) se transmite a través de páginas infectadas que dirigen a los usuarios a […]

  4. sonia19 dice:

    How to remove mtn5.goole.ws and popup.adv.net Malware

    http://www.tips29.com/2008/11/how-to-remove-mtn5goolews-and.html

Deja un comentario

XHTML: Puedes utiizar estas etiquetas: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>