Diversas aplicaciones de Mac distribuidas gratuitamente instalan el software espía OSX/OpinionSpy [A]
Intego ha descubierto una aplicación de software espía instalada por diversos programas y salvapantallas de Mac distribuidos de forma gratuita y que se encuentran en distintas webs. Este software espía, OSX/OpinionSpy, lleva a cabo una serie de acciones perjudiciales, desde explorar los archivos hasta grabar la actividad del usuario, además de enviar información sobre esta actividad a servidores remotos y crear un acceso a los Macs infectados.
Diversas aplicaciones y salvapantallas (no indicados por Intego) que se distribuyen de forma gratuita en sitios como MacUpdate, VersionTracker y Softpedia instalan OSX/OpinionSpy. El software espía en sí no está incluido en estas aplicaciones, pero se descarga durante el proceso de instalación. Esto muestra la necesidad de disponer de un programa actualizado contra “malware” o software malicioso, con un explorador en tiempo real capaz de detectarlo cuando el instalador de la aplicación original lo descargue.
La información que se facilita con algunas de estas aplicaciones contiene un texto engañoso que los usuarios deben aceptar, explicando que con ellas se instala un programa de “estudio de mercado”, aunque no todas lo especifican. Algunos de estos programas también se distribuyen directamente desde las webs de los desarrolladores sin que aparezca tal mensaje.
El “malware”, cuya versión para Windows existe desde 2008, afirma recoger información relativa a la navegación y a las compras para estudios de mercado. No obstante, este programa va mucho más allá, realizando distintas acciones engañosas que han obligado a Intego a clasificarlo como software espía.
OSX/OpinionSpy lleva a cabo las siguientes acciones:
Esta aplicación, que carece de interfaz, se ejecuta como “root” (solicita una contraseña de administrador al instalarse) con plenos privilegios para acceder y modificar cualquier archivo del equipo del usuario infectado.Si por alguna razón la aplicación se detiene, volverá a ejecutarse mediante launchd, la función de puesta en marcha de servicios a nivel de sistema.Crea un acceso HTTP utilizando el puerto 8254.Explora todos los volúmenes accesibles, analizando los archivos y consumiendo una gran cantidad de recursos del procesador. No está claro qué datos copia y envía a sus servidores, pero explora los archivos de los volúmenes locales y también de red, abriendo potencialmente un gran número de archivos confidenciales de la red a posibles intrusos.Explora los paquetes que entran y salen del Mac infectado por una red local, analizando los datos que llegan o se envían a otros equipos. Un Mac infectado puede, por tanto, recoger gran cantidad de datos de distintos equipos de una red local, por ejemplo, en una empresa o una escuela.Inyecta código, sin la intervención del usuario, en Safari, Firefox, iChat y copia datos personales desde estas aplicaciones. La inyección de código es una forma de conducta similar a la de un virus, y este software malicioso “infecta” las aplicaciones cuando están funcionando para poder llevar a cabo sus operaciones. (Infecta el código de las aplicaciones en la memoria del Mac y no los archivos en sí de las aplicaciones en el disco duro del usuario.)Envía con regularidad datos (codificados) a una serie de servidores utilizando los puertos 80 y 443. Envía a estos servidores datos acerca de archivos que ha explorado de forma local y también direcciones de correo electrónico, cabeceras de mensajes de iChat, direcciones URL y otros. Estos datos pueden incluir información personal, como nombres de usuario, contraseñas, números de tarjetas de crédito, marcadores de los navegadores, historiales y un largo etcétera.Dado el tipo de datos que recopila, la empresa que está detrás de este software espía puede almacenar registros detallados de los usuarios, sus costumbres, contactos, dónde están y mucha más información.La aplicación puede actualizarse automáticamente, añadiendo funciones nuevas, sin que el usuario intervenga ni tenga constancia. En ocasiones, solicita a los usuarios información, como su nombre, mostrando un cuadro de diálogo o les pide que rellenen algún tipo de encuesta.En algunos casos, los equipos con este software espía instalado dejan de funcionar correctamente al cabo de un tiempo; es preciso reiniciar a la fuerza estos Macs.Si un usuario borra la aplicación o el salvapantallas instalado originalmente, el software espía continuará instalado y en funcionamiento.Como hemos visto, esta aplicación que simula recoger datos para estudios de mercado, en realidad hace muchas otras cosas, llegando incluso a explorar todos los archivos del Mac infectado. Los usuarios no pueden saber qué datos exactamente se recogen y se envían a servidores remotos, pero entre estos datos pueden figurar nombres de usuario, contraseñas, números de tarjetas de crédito, etc. El riesgo de que estos datos puedan obtenerse y utilizarse sin el permiso del usuario hace que este software espía resulte especialmente peligroso para la privacidad.
El hecho de que esta aplicación recoja datos de esta forma y cree un acceso al ordenador lo convierte en una amenaza muy seria para la seguridad. No sólo eso, sino que la posibilidad de que se recopilen datos confidenciales como nombres de usuario, contraseñas y números de tarjetas de crédito, hace que el riesgo que entraña este software espía sea muy elevado. Aunque su distribución sea limitada, alertamos a los usuarios de Mac para que tengan mucho cuidado con el software que descargan e instalan en sus máquinas.
Modo de protección: Intego VirusBarrier X5 y X6 detectan y erradican este software malicioso, que identifican como OSX/OpinionSpy, con sus filtros de amenazas con fecha 31 de mayo de 2010 o posterior.
Listado preliminar de las aplicaciones que instalan este Spyware
Salvapantallas
Los salvapantallas que instalan este Spyware pertenecen a la compañía 7art-screensavers, yestán disponibloes tanto en la web de la empresa como en diferentes webs de distribución de software para Mac. la lista de salvapantallas "infectados" es al siguiente:
Secret Land ScreenSaver v.2.8 Color Therapy Clock ScreenSaver v.2.8 7art Foliage Clock ScreenSaver v.2.8 Nature Harmony Clock ScreenSaver v.2.8 Fiesta Clock ScreenSaver v.2.8 Fractal Sun Clock ScreenSaver v.2.8 Full Moon Clock ScreenSaver v.2.8 Sky Flight Clock ScreenSaver v.2.8 Sunny Bubbles Clock ScreenSaver v.2.9 Everlasting Flowering Clock ScreenSaver v.2.8 Magic Forest Clock ScreenSaver v.2.8Freezelight Clock ScreenSaver v.2.9 Precious Stone Clock ScreenSaver v.2.8 Silver Snow Clock ScreenSaver v.2.8 Water Color Clock ScreenSaver v.2.8 Love Dance Clock ScreenSaver v.2.8 Galaxy Rhythm Clock ScreenSaver v.2.8 7art Eternal Love Clock ScreenSaver v.2.8 Fire Element Clock ScreenSaver v.2.8 Water Element Clock ScreenSaver v.2.8 Emerald Clock ScreenSaver v.2.8 Radiating Clock ScreenSaver v.2.8 Rocket Clock ScreenSaver v.2.8 Serenity Clock ScreenSaver v.2.8 Gravity Free Clock ScreenSaver v.2.8 Crystal Clock ScreenSaver v.2.6 One World Clock ScreenSaver v.2.8 Sky Watch ScreenSaver v.2.8 Lighthouse Clock ScreenSaver v.2.8
Además, Intego ha encontrado una aplicación que descarga también este malware.
MishInc FLV To Mp3Esta lista no es definitiva y otras aplicaciones, según Intego, pueden unirse a la misma mientras intentan encontrar otros posibles programas afectados o usados como vector de infección.
![Tu y el reposo de tu Mac [nivel: Senshei]](http://files3.soniccdn.com/images/articles/120/46396.jpg)
![Disco duro externo para tu Mac [Nivel: Ninja]](http://files3.soniccdn.com/images/articles/120/47408.jpg)
Pero que casualidad!!
Soy un desarrollador de software gratuito.
¿¿¿Quiere decir que mi aplicación está infectada???
Desde ahora no podré descargar nada de ninguna web, porque no pienso comprar ningún supuesto antivirus.
Anda y que les den por .....!!!
Vamos por partes.
Este es un boletín de seguridad emitido por Intego. Describe un grave problema de seguridad que puede afectar a cualquier usuario y que demuestra (de nuevo de forma "intrínseca") que Mac OS X es un sistema operativo razonablemente seguro, <strong>pero no es invulnerable</strong>. Esta amenaza, además, independientemente de que afecte o no a muchos usuarios (aparentemente de momento a pocos), se puede considerar como <strong>grave</strong> especialmente porque el método de distribución e está realizando a través de sitios como Versiontracker o MacUpdate que hasta ahora eran "confiables".
Si quieres, podemos girar la cabeza, mirar hacia otro lado, empezar a silbar y hacer una comparativa de clientes de Twitter, que es "lo que se lleva" ... pero nos parece que sería traicionar la línea editorial que Faq-mac lleva desde hace muchos años: traeros la mejor información posible, lo antes posible y de la forma mas independiente posible. Y si<strong> hay que señalar puntos negros y feos </strong>, pues se señalan, sin aspavientos, pero de forma clara y precisa.
De ahí a "noticias pagadas" hay como un largo, largo, largo trecho. Pero bueno, siempre tienes la posibilidad de ignorar "la noticia pagada" e irte a Versiontracker a bajar salvapantallas. Igual tienes mala suerte y <em>te toca</em>, pero no será porque no hemos avisado del problema.
---------------
http://www.faq-mac.com
¿pero como podemos ser tan cerriles para no darnos cuenta que estamos delante de un problema de seguridad del que debemos protegernos independientemente de si la fuente es Intego o perico de los palotes?
¿Es que estamos tontos o que nos pasa? ¿con meter la cabeza en un agujero como las avestruces es suficiente?
Muchas gracias por publicar este tipo de noticias. Sois los únicos que os tomáis en serio la seguridad de nuestros Macs.
No me parece bien que se detecte este virus y no ofrezcan ninguna utilidad gratuita para eliminarlo. Están más preocupados por hacer caja que por la seguridad... y estamos hablando de una empresa de seguridad. Muy mal.
Si este malware se ejecuta con "launchd" podemos suponer que siempre se está cargado en nuestro equipo y si abre el puerto 8254, con este comando desde terminal "netstat -an -f inet | fgrep 8254" se verá si estamos infectados o no:
Ejemplo
------
macdc:~ miguel$ netstat -an -f inet | fgrep 8254
macdc:~ miguel$
Si después de ejecutarlo no aparece nada, es que está todo bien, como en el ejemplo de arriba. Si lo tuviéramos aparecería algo así:
Ejemplo
------
mac:~ miguel$ netstat -an -f inet | fgrep 8254
tcp4 0 0 *.8254 *.*
mac:~ miguel$
Saludos y suerte.
Un abrazo
---------------
http://www.faq-mac.com
Soy usuario de Little Snitch y supongo que aunque mi equipo quede infectado en el momento que intentase conectar a internet esta aplicación me avisaría ¿es cierto o se saltaría este filtro?
Por cierto, yo soy un lector de faq-mac que espero leer cosas siempre interesantes, y la seguridad de mis equipos es primordial.
Saludos
No es pagada, eso está claro. Por eso el titular es sensacionalista y la información sesgada e incompleta, como incitando a que la gente se compre el antivirus corriendo... Por eso huele a corta y pega. Porque no han pagado nada en Intego para que lo publiquéis. Efectivamente, una noticia pagada no parecería tan interesada ni tendría un efecto tan negativo para una marca. Yo al menos no pagaría.
Lo que me molesta como lector (soberano, aunque no tanto como un buen cliente) es que si no hubieses salido al trapo o hubieras puesto "Publirreportaje" en la noticia, no habríais dejado vuestra imparcialidad en entredicho.
Enhorabuena, sois los mejores!
Respondiendo a tu pregunta, no; "netstat -an -f inet" lista todos los puertos TCP y UDP abiertos en la máquina y "fgrep 8254" filtra el resultado usando la cadena numérica "8254".
Esta sencilla comprobación sólo funciona suponiendo que:
1. El spyware esté residente en memoria siempre (suele ser habitual)
2. Mientras está residente permanente el puerto abierto (también puede ser normal)
3. Que sólo utilice el puerto 8254 que ha indicado Intego
Es decir, no es infalible, en absoluto. Si Intego hubiera dado el nombre del proceso que utiliza o con el que se arranca en el subsistema launchd se podría detectar de forma mucho más fiable con un simple "ps aux" o "launchctl list", pero a falta de más información es lo que hay
Leo aproximadamente una docena de webs sobre Mac en español y solo alguna ha comenzado a hablar tímidamente sobre el tema esta mañana. El resto ni mencionarlo. Y sinceramente, me parece un tema bastante grave. Estaban demasiado ocupados mirándose el ombligo o toquiteando el iPad de los cojones.
A mi personalmente me la suda si esto es promoción, pagado o lo que sea. El tema es tan claro como que hay un malware activo, y aquí se cita que malware es, como funciona y cuales son las aplicaciones que lo están distribuyendo y además, Macdb (gracias, tio, eres un "monstro"), me puedo permitir el lujo de comprobar si soy "uno de los afortunados".
Todo lo demás no son mas que gilipolleces. Y los que dicen gilipolleces ....
Siempre se puede usar el excelente comando cambiando el número de puerto para comprobar
SI hay algún otro ordenador en la casa, siempre se puede hacer un escaneo de puertos entre el 8200 y el 8300 en busca de actividad sospechosa y tratar de acceder a ese puerto abierto vía navegador usando http://nombre_maquina.local: 8254 (o el número de puerto que esté abierto) para "inspeccionar"
---------------
http://www.faq-mac.com