NetWeirdRC: un troyano "comercial" que también afecta a OS X

23/08/2012 por Carlos Burges

El troyano OSX/NetWeirdRC, denominación dada por Intego, que ha descubierto este malware, es una puerta trasera en la línea de otras amenazas para OS X, pero que también afecta a Windows, Linux y Solaris. Al igual que OSX/Crisis, es un software comercial que puede comprarse por unos 60 dólares y que permite, una vez instalado, acceder a los contenidos y contraseñas del ordenador afectado.

Afortunadamente el troyano, que afecta a Mac OS X 10.6 Snow Leopard y superiores, tiene un bug que lo hace inspirativo en OS X y no se inicia después de reiniciar el Mac, dejándolo inerte (e inoperativo) mientras no se active manualmente.

Según las investigaciones de Intego sobre el maleare, el troyano se añade a los ítems de arranque pero el fallo en su programación hace que en vez de añadirse el malware, añada la carpeta de usuario (Home) en su lugar.

Una vez instalado, el troyano llama a la IP 212.7.208.65 y trata de conectar con el puerto 4141 para recibir instrucciones permitiendo instalar nuevos archivos, ejecutar comandos de forma remota, hacer pantallazos, recoger información del perfil del sistema y las aplicaciones que están ejecutándose y robar información encriptada de contraseñas de Firefox, Thunderbird, Opera y SeaMonkey.

El troyano crea una carpeta temporal adicional en /tmp/.lbOOjfsO

Es interesante comparar y contrastar OSX/Crisis y OSX/NetWeirdRC como productos "comerciales": mientras que el primero es una amenaza avanzada capaz de camuflarse bastante bien, el segundo tiene bastantes problemas. El precio indica también el "valor" de ambos malware: mientras que el primero tiene un precio de 200 dólares, el segundo apenas cuesta 60 dólares.

Fuente: Intego.

 

0
Comentarios
  • #1 por madmac09 el 23/08/2012
    ¿Cómo se supone que puede llegar a infectar al Mac? ¿Viene dentro de un programa que te descargas por ahí? ¿Requiere contraseña de administrador? Gracias.
  • #2 por Maktone Moorcock Elric el 25/08/2012
    Lo mejor usar es Little Snitch, en cuanto este infectado tu Mac e intente conectarse fuera, te avisara la app, con bloquearlo para siempre, nos ahorramos el susto... Luego abrá tiempo para eliminar el tryoyano, pero para cualquier tipo de app malicioso, no podra conectarse fuera sin tu consentimiento.

    http://www.obdev.at/products/littlesnitch/index.html