Intego ha lanzado una alerta de seguridad en la que indica que se está empezando a desplegar un Troyano que afecta a los ordenadores de Apple usando una estrategia de descarga. El troyano ha sido detectado en varios sites pornográficos, sites que están siendo anunciados en foros y webs sobre Mac en los que se indica que se ofrecen descargas gratuitas de películas para adultos.El método de infección pasa por el intento de descarga de una película: al hacer click en ella se solicita la instalación de un codec para verla. Si aceptamos (y no tenemos correctamente configurado Safari) el troyano (install.pkg) se autoinstalará, solicitando la contraseña de administrador y accediendo como Root (super-administrador). Por supuesto no se instalará ningún Codec y el usuario será redirigido a la web donde se le indicará que tiene que volver a descargar el Codec.

EL Troyano, una variante de DNSCharger, usa un sofisticado método vía el comando Scutil para modificar el servidor DNS del Mac. Cuando este nuevo DNS está activo, las peticiones a ciertos sitios serán redirigidas a sitios dedicados al robo de datos bancarios, contraseñas, etc (eBay, Paypal, etc) o a páginas dedicadas a la pornografía.

El troyano añade más una tarea Crontab que se ejecuta cada minuto que revisa si se han hecho modificaciones en los servidores DNS y reinstala los servidores maliciosos incluso si se cambia de ubicación o de tipo de conexión de red.

Existen diferentes versiones del troyano: las repetidas descargas de la imagen con la aplicación maliciosa muestran diferentes versiones del software.

Más información sobre el comando Scutil y Crontab en Apple.

Bajo Mac OS X 10.4 Tiger no hay manera de saber si se ha modificado el servidor DNS de forma gráfica. Bajo Mac OS X 10.5 Leopard es posible verlo en las preferencias avanzadas de Red, aunque es imposible modificarlo.

Este Troyano, que viene del ecosistema Windows desde el año 2005, tiene el nombre de Puper.

Como evitar el Troyano

La mejor manera de evitar el troyano es no descargar software de terceros de páginas no consideradas como seguras y configurar Safari de manera que no pueda abrir y/o instalar ninguna aplicación.

Para ello, en las preferencias de Safari, deberemos desmarcar la opción de apertura de archivos seguros al descargarlos:

Si no estamos seguros si hemos descargado ese instalador, podemos hacer una búsqueda en Spotlight por install.pkg. Mac OS X guarda una referencia de todo el software instalado en librería > Receipts, donde podremos comprobar que ese instalador no ha sido ejecutado verificando además la fecha.

Comprobar si estamos infectados

La mejor manera de comprobar si hemos sido infectados en ir a Library > internet Plug-ins y buscar el archivo plugins.settings. Si lo tienes, estás infectado, aunque es posible que en diferentes versiones del troyano este nombre varíe.

Para asegurar, lo mejor es comprobar tanto las tareas de Cron como Scutil. Para ello abriremos el Terminal, que está en Aplicaciones > Utilidades y teclearemos el siguiente comando (copia y pega):

sudo crontab -l

Se nos pedirá la contraseña del administrador que deberemos introducir.

Si obtenemos una respuesta similar a esta:

* * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1

donde plugins.settings puede variar de nombre, pero la ruta de archivo /Library/Internet Plug-Ins/ es la misma, estamos infectados.

El Leopard, podemos comprobar además las DNS usando el comando scutil

Solo tendremos que abrir el Terminal y escribir scutil, pulsar retorno de carro y escribir el siguiente comando en el terminal (copiar y pegar)

show State:/Network/Global/DNS

y recibiremos una respuesta que se parecerá a esta:

{
ServerAddresses : {
0 : 10.0.1.1
}
}
>

Si en Leopard, las DNS que tenemos en las opciones avanzadas de red coinciden con los resultados que nos ofrece el terminal, no tenemos DNS “añadidas”.

Para salir de Scutil solo tenemos que escribir exit

Eliminar el Troyano

Si estás infectado, es posible retirar el Troyano con un poco de trabajo en el Terminal. Los pasos serían los siguientes:

1. Como por defecto Mac OS X no incluye ninguna tarea Contrab para el Root, la tareas que nos aparezca con esa ruta específica apuntando a /Library/Internet Plug-Ins/ nos dirá el nombre del archivo malicioso, aunque no use el nombre plugins.settings. Para ello usaremos el terminal escribiendo:sudo crontab -l

   La respuesta nos dirá la ruta de archivo que debemos mirar para borrar el correspondiente archivo:

   * * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1

2. Después borraremos la tarea Cron escribiendo en el terminal:
   sudo crontab -r
   Y escribiendo la contraseña de administrador cuando se nos solicite.

Una vez hecho esto deberemos reiniciar y, en todo caso, volver a comprobar usando los pasos arriba mencionados que ya no tenemos encima tan molesto inquilino.

Información de www.faq-mac.com

Finalmente, serán las EOS-1D Mark III con números de serie entre el 501001 y el 546561 las que tendrán que pasar por el servicio técnico para resolver los problemas con el enfoque en el modo servo que esta réflex de gama profesional viene arrastrando desde su presentación.Dos semanas después de que fuentes oficiales confirmaran a QUESBESDE.COM la existencia de un problema en uno de los espejos de la cámara, Canon Europa ha emitido un comunicado en el que se especifican las 45.560 unidades que han de ser reparadas.

Canon EOS-1D Mark III

No obstante, el escueto anuncio no aporta datos más específicos sobre los pasos que debe dar el usuario para acogerse a este proceso gratuito, y tan sólo se indica que las reparaciones comenzarán a finales de este mes de noviembre.

Aunque la división española de Canon aún no se ha pronunciado al respecto, preguntados por QUESABESDE.COM sus portavoces han apuntado que ya se está organizando el proceso de reparaciones gratuitas y que se ofrecerá información más precisa sobre el protocolo a seguir lo antes posible.

Unidades afectadas en España

Pese a que el comunicado oficial de Canon no aporta datos sobre el alcance y los países afectados por el problema, este medio ha podido constatar la existencia de -por lo menos- una unidad en España con número de serie comprendido entre el 501001 y el 546561.

En este sentido, durante esta misma semana ha circulado por Internet una supuesta carta enviada por Canon a diversos distribuidores del Reino Unido en la que se anuncia la paralización del envío de cámaras y la retirada de las unidades en “stock” para proceder a su reparación.

A falta de algún tipo de confirmación oficial al respecto, QUESABESDE.COM ha podido saber que las principales tiendas especializadas en fotografía del país aún no han recibido -al menos en el momento de publicarse esta información- instrucciones por parte de Canon.

Información de www.quesabesde.com