Eliminando el software espía OSX/OpinionSpy

Este pasado martes, el desarrollador de software antivirus y seguridad Intego anunció la existencia de un nuevo Troyano escondido en diferentes salvapantallas y al menos una aplicación que permite controlar la actividad del usuario y envía información sensible del mismo fuera de su ordenador. La incidencia de este troyano aparentemente es mínima, pero si estás preocupado por este aviso de seguridad y quieres comprobar si estás infectado, o si es el caso, eliminar este Troyano, te ofrecemos las pistas necesarias para que puedas descansar tranquilo.

Lo primero

Este troyano no afecta a los usuarios con Macs con procesadores PPC: simplemente no funciona, así que si tienes un Mac con este tipo de procesador, puedes estar tranquilo al respecto.

La detección del mismo es otro cantar: hay vario métodos. El primero de ellos, descrito por Macdc:

Si este malware se ejecuta con "launchd" podemos suponer que siempre se está cargado en nuestro equipo y si abre el puerto 8254, con este comando desde terminal "netstat -an -f inet | fgrep 8254" se verá si estamos infectados o no:

Ejemplo

------

macdc:~ miguel$ netstat -an -f inet | fgrep 8254

macdc:~ miguel$

Si después de ejecutarlo no aparece nada, es que está todo bien, como en el ejemplo de arriba. Si lo tuviéramos aparecería algo así:

Ejemplo

------

mac:~ miguel$ netstat -an -f inet | fgrep 8254

tcp4 0 0 *.8254 *.*

mac:~ miguel$

"netstat -an -f inet" lista todos los puertos TCP y UDP abiertos en la máquina y "fgrep 8254" filtra el resultado usando la cadena numérica "8254".

Esta sencilla comprobación sólo funciona suponiendo que:

1. El spyware esté residente en memoria siempre (suele ser habitual)

2. Mientras está residente permanente el puerto abierto (también puede ser normal)

3. Que sólo utilice el puerto 8254 que ha indicado Intego

Es decir, no es infalible, en absoluto. Si Intego hubiera dado el nombre del proceso que utiliza o con el que se arranca en el subsistema launchd se podría detectar de forma mucho más fiable con un simple "ps aux" o "launchctl list"

Un paso mas allá

la instalación de este troyano requeire el permiso expreso del usuario y su contraseña, para lo cual, utiliza una vieja táctica de Ingeniería Social haciendo pasar la instalación por un servicio legal de minería de datos. Nada mas lejos de la realidad.

Una vez instalado el Troyano, el sistema se autoajusta para poder acomodarlo, descargando diferentes programas (desde Estados Unidos y desde China), scripts y modificando el sistema de forma que el Troyano resulte difícil de detectar (aunque consume gran cantidad de recursos del ordenador) y se vuelva a autoejecutar en el caso de que matemos el proceso.

La mejor forma de saber si estamos infectados (teniendo en cuenta que es posible que el creador del Troyano puede cambiar en cualquier momento las dependencias de los archivos y sus nombres) es comprobar si tenemos una serie de archivos en nuestro Mac en diferentes rutas usando la opción del menú del Finder Ir > Ir a la carpeta y comprobando que están (o no están) los siguientes archivos:

Si este fuera el caso, deberías primero desconectar el Mac de la Red para a continuación borrarlos todos y reiniciar inmediatamente el ordenador.

La eliminación de todos estos archivos puede hacerse de una tacada usando un comando compuesto en el Terminal, para evitar tener que introducir la contraseña del administrador por cada comando tecleado:

Al introducir este largo comando eliminarás todos los archivos que instala el Troyano junto con sus sistemas de respaldo y autoinstalación. Procede con cuidado, no obstante, y toma las correspondientes medidas de seguridad si no estás muy seguro de lo que vas a hacer haciendo copia de seguridad de los documentos importantes de tu Mac, que evidentemente, no están infectados, ya que este Troyano es simplemente una aplicación y no inyecta código en los documentos.

Dispones de información mucho más técnica de cómo se instala y funciona este Troyano en Brunerd, incluido el sistema para la eliminación manual del Troyano aquí descrito.