Primer troyano para MacOSX :UPDATED3:

Intego, el especialista en seguridad para Macintosh, ha actualizado sus definiciones para antivirus hoy mismo para proteger a los usuarios sobre una nueva amenaza: el primer troyano para MacOSX: MP3Concept.

Estre trojano viene encapsulado en un falso MP3 (MP3virus.gen), y se aprovecha de una debilidad en MacOSX en la que las aplicaciones pueden aparecer bajo el aspecto de otros tipos de archivos.

El Troyano está encapsulado en la etiqueta ID3 de un MP3 (archivo de música digital). Este código es en realidad una aplicación escondida que funciona en cualquier Mac con MacOSX.

MacOSX muestra el icono de este MP3, y con la extensión .MP3, en vez de mostrar el archivo como una aplicación, llevando a los usuarios a hacer doble click en el archivo para escucharla. Pero al hacer doble click se lanza el código malicioso que puede dañar o borrar archivos en ordenadores con MacOSX. Entonces iTunes reproduce el archivo de manera que el usuario piense que es un archivo de audio normal. Aunque la primera versión de este Troyano analizada y aislada por Intego puede considerarse como benigna, la técnica abre la puerta a riesgos mucho mas serios.

Este Troyano puede potencialmente realizar las siguientes acciones:

- borrar todos los archivos personales de los usuarios

- reenviarse a través de correo electrónico

- infectar otros mp3, jpg, gif o películas Quicktime.

Por el riesgo que implica, abrir un mp3 con doble click en MacOSX no se puede considerar como una acción segura. Esta misma técnica puede darse en archivos jpg y gif, aunque no se han dado casos aun de este tipo de infección.

VirusBarrier de Intego es capaz de eliminar este troyano, y la empresa asegura que su antivirus será capaz de eliminar virus y troyanos que utilicen esta misma táctica. Los usuarios de este antivirus deben actualizarse de inmediato y mantener sus definiciones al día.

A hora de este artículo Virex ni Symantec (Norton Antivirus) no han actualizado aún su definición de virus (Virex), que data de fecha 25 de marzo de 2004, según figura en Versiontracker.

Una buena manera de evitar este problema es no hacer doble click en archivos MP3 recibidos hasta asegurarse de no se encuentran infectados y rechazar este tipo de archivos de los correos de personas desconocidas. Muy atentos también a los archivos comprimidos enviados por desconocidos que al descomprimir incluyen un archivo AppleScript que puede parecer inocente pero puede lanzar el archivo infectado que puede llevar la etiqueta de invisible. Una buena manera de reconocer esta técnica de infección es controlar el peso de los archivos dentro de esa carpeta y del tamaño general de la carpeta, si existe una diferencia notable, puede haber un archivo invisible dentro de la misma.

:UPDATED2:

McAfee ha publicado un beta de su nueva versión de antivirus, que alcanza el número 7.5. Virex añade una revisión de su motor de escaneado, escaneo bajo demanda, escaneo y actualización programables, ayuda en línea, escaneo por arastrar-y-soltar, actualización electrónica automática y el ultimo motor de antivirus de McFee, el 4240, pero no se nombra en ningun momento por parte de esta empresa si esta beta es capaz de lidiar con el nuevo troyano Mp3Concept. Para mas información acerca de las funcionalidades de esta beta, McAfee ha dispuesto un documento informativo.

:UPDATE:

Cómo identificar estos archivos

Aunque el aspecto y forma de este troyano es el de un MP3, hay dos maneras muy sencillas de identificarlo como un archivo agresivo. En el caso de macOSX simplemente haciendo un "obtener información" (Comando + i) y observando el campo Tipo: si está marcado como aplicación (a pesar de que el finder lo muestre como mp3, con su extensión y todo) tenremos un firme candidato de este troyano que debe ser inmediatamente arrojado a la papelera sin ser ejecutado por doble click. Otra manera de identificar el archivo es usando un editor de recursos o alguna aplicación que lea las Flags del archivo: alli nos volveremos a encontrar con que un simple MP3 esta marcado como APPL o aplicación.

En esta imagen podemos ver como sería un cuadro de información de un archivo MP3 que evidentemente, es un troyano camuflado:

En el recuadfro, los datos de interés, vemos como el archivo está realmente marcado como aplicación

Symantec por su parte, esta advertida de este virus y aunque no se encuentra el la lista de respuesta inmediata por parte de la empresa creadora de el Antivirus Norton, Symantec indica que siguen con interés el tema y otras potenciales amenazas a MacOSX. Además, Symantec ha lanzado unas nuevas definiciones de virus (8 de Marzo del 2004) en las que en la nota de versiontracker no se indica (pero sí es muy problable) que se incluya este troyano en sus capacidades de detección.

:UPDATED3:

Apple ha respondido acerca de la vulnerabilidad explotada por este troyano lanzada por intego estos pasados días: "Estamos advertidos del problema potencial identificado por Intego y estamos trabajando activamente en el", ha comentado Apple; "Aunque ningún sistema operativo puede ser completamente seguro para todas las amenazas, Apple tiene un excelente registro sobre la identificación y corrección de vulnerabilidades potenciales".

Mientras, Intego ha publicado un documento con preguntas y respuestas relacionadas con este Trojano. El documento ofrece información completa y detalles técnicos así como una explicación de cómo funciona este troyano.

Faq-mac.com, por su parte, ha publicado una pequeña aplicación capaz de detectar archivos que se encuentran en la categoría de este Torjano, AntiAPPL 1.0 y permite la posibilidad de eliminarlos.