Aparentemente, Intego ha estado investigando este troyano y ha encontrado que el troyano solo estará en su máquina si existe la siguiente carpeta:
/Library/ScriptingAdditions/appleHID/
Si se instaló con privilegios de administrador, existirán estos archivos / carpetas:
-
/System/Library/Frameworks/Foundation.framework/XPCServices/
-
/System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server
-
/System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/
-
/Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r
Estos archivos hacen ping a la dirección IP 176.58.100.37 cada 5 minutos. Actualmente no hace nada, pero en cualquier momento el troyano podría activarse y causar problemas. Intego también informa que el león de montaña no se ve afectado por el troyano. Intego's VirusBarrier eliminará el troyano.