Nuevo Malware para Mac de baja incidencia: OSX/Crisis

25/07/2012 por Carlos Burges

Intego ha anunciado el descubrimiento de un nuevo Malware para OS X que ha denominado OSX/Crisis que ataca fundamentalmente a Mac OS X 10.6 Snow Leopard y OS X 10.7 Lion. Este nuevo malware no está ampliamente distribuido en internet, lo que supone una amenaza baja por una parte, aunque sus características le permiten autoinstalarse sin la intervención del usuario.

Crisis es un Caballo de Troya que abre la puerta a la instalación de un malware mucho más elaborado. El software se instala sin solicitar la contraseña de usuario y sin la intervención del mismo, se protege ante los reinicios del sistema, lo que implica que sigue funcionando hasta que es retirado del ordenador. En función del tipo de cuenta sobre el que se instala, el maleare instala diferentes componentes y aunque está pendiente de comprobar hasta que punto son una amenaza los componentes instalados, el malware exhibe algunas técnicas para evitar su análisis además de una efectiva táctica de ocultación, características poco comunes en el maleare para OS X.

Si el malware llega a instalarse en un ordenador con acceso a superusaurio (roto), descarga un rootkit para hacerse invisible creando hasta 17 archivos y carpetas y 14 si el usuario no es el Root del sistema. Muchos de esos archivos y carpetas reciben nombres aleatorios, pero algunos de ellos mantienen una estructura fija: con acceso o sin acceso Root, estos archivos si mantienen el nombre determinado por el troyano:

  • /Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

Con acceso Root, estos archivos siempre están presentes:

  • /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server
  • /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/

El componente que gestiona la puerta trasera del malware llama cada 5 minutos a un servidor con IP 176.58.100.37 a la espera de instrucciones. Los archivos están creados para dificultar la ingeniería inversa cuando se trata de analizar el malware, una táctica frecuente en el software malicioso para Windows que es poco común en este tipo de software para OS X.

Intego ha anunciado que la última versión de su herramienta antivirus VirusBarrier X6 es capaz de eliminar este software.

0
Comentarios
  • #1 por Maties Canyelles el 26/07/2012
    Me gustaría saber hasta que punto están relacionados Intego y este malware...
  • #2 por Max el 30/08/2012
    ...yo te lo digo.
    ...planta primera: creación de virus.
    ...planta segunda: antídotos de virus
    ...planta tercera: fabricación y embalaje del producto "antivirus"


    ...son todos unos mamones.
    :cool: