Sunday, May 19, 2019
Novedades sobre iPhone, Mac, iPad y Apple.


Troyano para Mac OS X: trojan.osx.boonana.a ó OSX/Koobface.A [ux2]

SecureMac ha descubierto un nuevo troyano que afecta a Mac OS X, incluido Mac OS X 10.6 Snow Leopard, la…

By Xus Pons , in Aplicaciones Apple , at 28 octubre, 2010 Etiquetas: ,

SecureMac ha descubierto un nuevo troyano que afecta a Mac OS X, incluido Mac OS X 10.6 Snow Leopard, la última versión del sistema operativo de Apple.

El troyano, de nombre trojan.osx.boonana.a o OSX/Koobface.A según la empresa que lo haya identificado, se está distribuyendo a través de redes sociales incluido Facebook enmascarado en un vídeo. El Troyano aparece como un enlace en los mensajes de las redes sociales con el título: “Is this you in this video?”.

Cuando el usuario hace click en el enlace, el troyano inicialmente se ejecuta como un Applet de Java que descarga otros archivos al ordenador, incluyendo un instalador que se lanza automáticamente, Cuando se ejecuta, el instalador modifica ciertos archivos del sistema para saltarse la protección de contraseña de usuario además de acceder a todos los archivos del sistema. Intego advierte, sin embargo, que el Troyano para Mac está mal formado y que representa una, de momento, amenaza de bajo nivel.

Adicionalmente, el troyano sitúa un proceso que se ejecuta silenciosamente en segundo plano tras el arranque y periódicamente ciertos servidores para recibir órdenes o enviar información del ordenador afectado. Mientras se ejecuta, el troyano asalta la cuenta del usuario y se reenvía por correo a través de mensajes de spam. Los usuarios informan que el troyano se está distribuyendo no solo a través de las redes sociales, sino también a través de correos electrónicos.

El componente de Java del troyano es multiplataforma e incluye otros archivos que no solo afectan a Mac OS X sino también a Windows. Esta es la primera vez que aparentemente se usa este sistema específico de infección en Mac OS X y de forma simultánea en Windows.

El troyano, por su parte, trata de esconder sus comunicaciones a internet y se ofusca repartiendo el código entre diferentes archivos además de intentar conectar con servidores secundarios cuando los servidores primarios no están disponibles.

SecureMac ha publicado una herramienta gratuita de esta amenaza que puede descargarse desde SecureMac o desde este enlace (no funcionaba ni descarga nada). Para protegerse de este troyano y de su infección a través de Safari, es posible desconectar en las preferencias del navegador la opción de Java (no Javascript) lo que garantiza una defensa parcial.

Intego, por su parte, ha identificado este Troyano como OSX/Koobface.A y si ofrece mas información sobre el mismo. El Troyano, para instalarse, pide la aceptación por parte del usuario desde Safari en forma de solicitud de instalación de un applet de Java con un certificado no confiable. Si aún así el usuario acepta, el Troyano abre un puerto, el 49085 aparentemente para iniciar una conversación con el servidor y descargar una serie de archivos en una carpeta invisible con el nombre .jnana en el primer nivel de la carpeta de usuario. Esos archivos descargados están diseñados para infectar Mac OS X, WIndows y Linux. El troyano ejecuta a continuación el instalador que tiene las mismas funciones que el gusano Koobface incluyendo un servidor web, un servidor IRC, la capacidad de actuar como parte de una botnet, o la capacidad de modificar las DNS además de activar otras funciones a través de otros archivos que podrían descargarse mas adelante.

Intego ha indicado que su antivirus Virus Barrier X6 es capaz de eliminar esta amenaza, pero hay poca información al respecto de como poder realizar esta tarea manualmente.

¿Tengo el troyano?

La información suministrada por ambos desarrolladores de soluciones de seguridad es de momento escasa aunque si se puede establecer un escenario efectivo para saber si un Mac está infectado: en la carpeta raíz del usuario (Home), un usuario infectado debería tener una carpeta invisible llamada .jnana.

Para ver si esa carpeta está en nuestra Home (es invisible) deberemos abrir el Terminal y cipar y pegar:

defaults write com.apple.Finder AppleShowAllFiles YES;killall Finder

Este comando compuesto, que muestra los archivos invisibles y reinicia el Finder, nos permitirá comprobar si en nuestra carpeta de usuario, en le primer nivel existe esa carpeta .jnana. Si estuviera, la primera acción es borrarla, aunque eso no implica que nos hayamos “desinfectado”.

La desinfección posiblemente pasará por el uso de un antivirus especializado y/o la reinstalación del sistema operativo para asegurar la integridad de nuestra información además del traslado manual de los documentos del usuario. Estos troyanos no infectan los documentos creados por el usuario, y estos están seguros.

Para devolver el Finder a su situación normal, es decir, que no muestre los archivos invisibles, teclearemos en el Terminal:

defaults write com.apple.Finder AppleShowAllFiles NO;killall Finder

Este troyano, aunque no solicita la contraseña de usuario para instalarse, si se ve forzado a solicitar la ejecución del Applet de Java y esa será la primera pista ante el caso de que nos encontremos con una solicitud sospechosa. El cuadro que nos podemos encontrar, en castellano, pero similar, es este, cortesía de Intego:

Es importante observar que los Applet de Java deben ir firmados y si nos aparece un cuadro de diálogo similar y se nos indica que la firma no está verificada, deberemos “denegar” el uso de este Applet. Al no ejecutarse, simplemente no se descargarán archivos y no seremos infectados. Es una buena medida de seguridad, en las preferencias de Safari y de forma adicional, no permitir el uso de Applets de Java sobre todo en ordenadores poco atendidos o en manos inexpertas. Adicionalmente, si aparece “de la nada” un instalador de aplicación sin que hayamos hecho doble click en ninguno de ellos, es importante cerrarlo.

Los usuarios españoles tenemos mas suerte porque por defecto todas estas amenazas vienen en inglés: desconfía especialmente de mensajes y correos de personas que contactan contigo habitualmente en castellano, y ante enlaces sospechosos, haz click alternativo con el ratón y copia y pega el enlace en un documentos de texto plano para poder estudiarlo con detalle: generalmente estos enlaces suelen hacer referencia a un servidor hackeado que no tiene nada que ver con un sitio de vídeos, por ejemplo.

Intego ha reiterado que el peligro de este troyano es bajo y que ya conocía su existencia, pero lo había calificado como una amenaza mínima ya que la versión “para Mac” está llena de errores y problemas.

Fuente: Faq-Mac.com