Mac OS pun saat ini mulai tidak aman. Sebuah malware yang diidentifikasikan sebagai Trojan Horse bernama "OSX.RSPlug.A Trojan Horse" telah ditemukan tanggal 30 Oktober 2007 oleh sebuah tim sekuriti untuk Mac, Intego. Trojan Horse ini mulai menyebar lewat website-website porno yang menawarkan video porno gratis pada komputer Mac. Pengunjung yang berniat melihat video yang sepertinya berasal dari website porno bereputasi akan diminta untuk mendownload codec video agar bisa melihatnya. Sebuah tulisan seperti di bawah ini akan muncul:
"Quicktime Player is unable to play movie file.
Please click here to download new version of codec."
Setelah halaman tersebut terbuka sebuah file disk image berekstensi .dmg akan didownload otomatis ke komputer mac user tersebut. Bila user kemudian mengaktifkan Open "Safe" File setelah download selesai pada bagian General Preferences Safari (atau setting sejenis pada browser lain), maka image disk tersebut akan mount, dan akan menginstall installer yang dikandungnya. Atau, jiga user mengklik-ganda file untuk melakukan mounting, maka user dapat menginstall package installer tersebut dengan cara klik ganda file bernama "install.pkg".
Bila user kemudian melanjutkan proses install, Trojan Horse tersebut akan terpasang. Saat proses install, user akan diminta memasukan password untuk administrator, yang akan memberikan akses penuh kepada virus tersebut untuk melakukan instalasi selanjutnya. Setelah selesai, tidak ada codec yang diinstall, dan bila user kembali lagi ke website porno tersebut akan tetap diminta untuk mendownload codec yang sama.
Trojan tersebut akan merubah beberapa DNS (Domain Name Service) system yang ada pada DNS server komputer tersebut melalui sebuah "scutil command". Perubahan tersebut akan membelokan beberapa DNS penting saat user mengaksesnya, seperti ke Paypal, Ebay dan beberapa website Bank, ke website-website pengganti yang mirip, sehingga user akan menyangka website tersebut asli. Bila user memasukan password, nomor Kartu Kredit dan informasi penting lainnya maka akan tercatat di website palsu tersebut. Selain itu, trojan juga akan membelokan akses ke website-website porno lainnya.
Pada macOS Tiger (OS X 10.4) perubahan DNS ini tidak terlihat. Namun pada OS X 10.5 (Leopard) perubahan akan terlihat pada preferences Advanced Network, DNS tambahan akan terlihat berwarna abu-abu dan tidak dapat dihapus secara manual.
Selain itu, Trojan akan menginstall sebuah crontab pada root yang akan selalu melakukan pemeriksaan tiap menit apakah DNS server selalu aktif. Karena perubahan lokasi akses juga akan merubah DNS server maka crontab inilah yang akan memastikan bahwa DNS server milik virus tersebut yang tetap aktif.
Untuk itu, user diharapkan agar berhati-hati bila diminta untuk mendownload codec yang tidak jelas dari internet, demi untuk melihat video yang belum tentu dapat dibuka.
"Quicktime Player is unable to play movie file.
Please click here to download new version of codec."
Setelah halaman tersebut terbuka sebuah file disk image berekstensi .dmg akan didownload otomatis ke komputer mac user tersebut. Bila user kemudian mengaktifkan Open "Safe" File setelah download selesai pada bagian General Preferences Safari (atau setting sejenis pada browser lain), maka image disk tersebut akan mount, dan akan menginstall installer yang dikandungnya. Atau, jiga user mengklik-ganda file untuk melakukan mounting, maka user dapat menginstall package installer tersebut dengan cara klik ganda file bernama "install.pkg".
Bila user kemudian melanjutkan proses install, Trojan Horse tersebut akan terpasang. Saat proses install, user akan diminta memasukan password untuk administrator, yang akan memberikan akses penuh kepada virus tersebut untuk melakukan instalasi selanjutnya. Setelah selesai, tidak ada codec yang diinstall, dan bila user kembali lagi ke website porno tersebut akan tetap diminta untuk mendownload codec yang sama.
Trojan tersebut akan merubah beberapa DNS (Domain Name Service) system yang ada pada DNS server komputer tersebut melalui sebuah "scutil command". Perubahan tersebut akan membelokan beberapa DNS penting saat user mengaksesnya, seperti ke Paypal, Ebay dan beberapa website Bank, ke website-website pengganti yang mirip, sehingga user akan menyangka website tersebut asli. Bila user memasukan password, nomor Kartu Kredit dan informasi penting lainnya maka akan tercatat di website palsu tersebut. Selain itu, trojan juga akan membelokan akses ke website-website porno lainnya.
Pada macOS Tiger (OS X 10.4) perubahan DNS ini tidak terlihat. Namun pada OS X 10.5 (Leopard) perubahan akan terlihat pada preferences Advanced Network, DNS tambahan akan terlihat berwarna abu-abu dan tidak dapat dihapus secara manual.
Selain itu, Trojan akan menginstall sebuah crontab pada root yang akan selalu melakukan pemeriksaan tiap menit apakah DNS server selalu aktif. Karena perubahan lokasi akses juga akan merubah DNS server maka crontab inilah yang akan memastikan bahwa DNS server milik virus tersebut yang tetap aktif.
Untuk itu, user diharapkan agar berhati-hati bila diminta untuk mendownload codec yang tidak jelas dari internet, demi untuk melihat video yang belum tentu dapat dibuka.
Posting Komentar