Troyano para Mac OS X: trojan.osx.boonana.a ó OSX/Koobface.A [ux2]

SecureMac ha descubierto un nuevo troyano que afecta a Mac OS X, incluido Mac OS X 10.6 Snow Leopard, la última versión del sistema operativo de Apple.

El troyano, de nombre trojan.osx.boonana.a o OSX/Koobface.A según la empresa que lo haya identificado, se está distribuyendo a través de redes sociales incluido Facebook enmascarado en un vídeo. El Troyano aparece como un enlace en los mensajes de las redes sociales con el título: “Is this you in this video?”.

Cuando el usuario hace click en el enlace, el troyano inicialmente se ejecuta como un Applet de Java que descarga otros archivos al ordenador, incluyendo un instalador que se lanza automáticamente, Cuando se ejecuta, el instalador modifica ciertos archivos del sistema para saltarse la protección de contraseña de usuario además de acceder a todos los archivos del sistema. Intego advierte, sin embargo, que el Troyano para Mac está mal formado y que representa una, de momento, amenaza de bajo nivel.

Adicionalmente, el troyano sitúa un proceso que se ejecuta silenciosamente en segundo plano tras el arranque y periódicamente ciertos servidores para recibir órdenes o enviar información del ordenador afectado. Mientras se ejecuta, el troyano asalta la cuenta del usuario y se reenvía por correo a través de mensajes de spam. Los usuarios informan que el troyano se está distribuyendo no solo a través de las redes sociales, sino también a través de correos electrónicos.

El componente de Java del troyano es multiplataforma e incluye otros archivos que no solo afectan a Mac OS X sino también a Windows. Esta es la primera vez que aparentemente se usa este sistema específico de infección en Mac OS X y de forma simultánea en Windows.

El troyano, por su parte, trata de esconder sus comunicaciones a internet y se ofusca repartiendo el código entre diferentes archivos además de intentar conectar con servidores secundarios cuando los servidores primarios no están disponibles.

SecureMac ha publicado una herramienta gratuita de esta amenaza que puede descargarse desde SecureMac o desde este enlace (no funcionaba ni descarga nada). Para protegerse de este troyano y de su infección a través de Safari, es posible desconectar en las preferencias del navegador la opción de Java (no Javascript) lo que garantiza una defensa parcial.

Intego, por su parte, ha identificado este Troyano como OSX/Koobface.A y si ofrece mas información sobre el mismo. El Troyano, para instalarse, pide la aceptación por parte del usuario desde Safari en forma de solicitud de instalación de un applet de Java con un certificado no confiable. Si aún así el usuario acepta, el Troyano abre un puerto, el 49085 aparentemente para iniciar una conversación con el servidor y descargar una serie de archivos en una carpeta invisible con el nombre .jnana en el primer nivel de la carpeta de usuario. Esos archivos descargados están diseñados para infectar Mac OS X, WIndows y Linux. El troyano ejecuta a continuación el instalador que tiene las mismas funciones que el gusano Koobface incluyendo un servidor web, un servidor IRC, la capacidad de actuar como parte de una botnet, o la capacidad de modificar las DNS además de activar otras funciones a través de otros archivos que podrían descargarse mas adelante.

Intego ha indicado que su antivirus Virus Barrier X6 es capaz de eliminar esta amenaza, pero hay poca información al respecto de como poder realizar esta tarea manualmente.

¿Tengo el troyano?

La información suministrada por ambos desarrolladores de soluciones de seguridad es de momento escasa aunque si se puede establecer un escenario efectivo para saber si un Mac está infectado: en la carpeta raíz del usuario (Home), un usuario infectado debería tener una carpeta invisible llamada .jnana.

Para ver si esa carpeta está en nuestra Home (es invisible) deberemos abrir el Terminal y cipar y pegar:

defaults write com.apple.Finder AppleShowAllFiles YES;killall Finder

Este comando compuesto, que muestra los archivos invisibles y reinicia el Finder, nos permitirá comprobar si en nuestra carpeta de usuario, en le primer nivel existe esa carpeta .jnana. Si estuviera, la primera acción es borrarla, aunque eso no implica que nos hayamos “desinfectado”.

La desinfección posiblemente pasará por el uso de un antivirus especializado y/o la reinstalación del sistema operativo para asegurar la integridad de nuestra información además del traslado manual de los documentos del usuario. Estos troyanos no infectan los documentos creados por el usuario, y estos están seguros.

Para devolver el Finder a su situación normal, es decir, que no muestre los archivos invisibles, teclearemos en el Terminal:

defaults write com.apple.Finder AppleShowAllFiles NO;killall Finder

Este troyano, aunque no solicita la contraseña de usuario para instalarse, si se ve forzado a solicitar la ejecución del Applet de Java y esa será la primera pista ante el caso de que nos encontremos con una solicitud sospechosa. El cuadro que nos podemos encontrar, en castellano, pero similar, es este, cortesía de Intego:

apple3t_infectado_java.jpg

Es importante observar que los Applet de Java deben ir firmados y si nos aparece un cuadro de diálogo similar y se nos indica que la firma no está verificada, deberemos “denegar” el uso de este Applet. Al no ejecutarse, simplemente no se descargarán archivos y no seremos infectados. Es una buena medida de seguridad, en las preferencias de Safari y de forma adicional, no permitir el uso de Applets de Java sobre todo en ordenadores poco atendidos o en manos inexpertas. Adicionalmente, si aparece “de la nada” un instalador de aplicación sin que hayamos hecho doble click en ninguno de ellos, es importante cerrarlo.

Safari_preferencias_seguridad.jpg

Los usuarios españoles tenemos mas suerte porque por defecto todas estas amenazas vienen en inglés: desconfía especialmente de mensajes y correos de personas que contactan contigo habitualmente en castellano, y ante enlaces sospechosos, haz click alternativo con el ratón y copia y pega el enlace en un documentos de texto plano para poder estudiarlo con detalle: generalmente estos enlaces suelen hacer referencia a un servidor hackeado que no tiene nada que ver con un sitio de vídeos, por ejemplo.

Intego ha reiterado que el peligro de este troyano es bajo y que ya conocía su existencia, pero lo había calificado como una amenaza mínima ya que la versión “para Mac” está llena de errores y problemas.

0 0 votos
Article Rating
Subscribe
Notify of
9 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
Anónimo
Anónimo
13 years ago

Java, como no…

Anónimo
Anónimo
13 years ago

A ver si con un poco de suerte empiezan a hacer caja.
Esto apesta y veo a Intego en medio. ¿Casualidad?

Anónimo
Anónimo
13 years ago

como podemos evitar este troyano en mac?

Administrador
13 years ago

No elucubremos sin pruebas reales, por favor.

Cada empresa de seguridad se toma muy en serio las amenazas a las plataformas que protege, y te puedo asegurar que después de muchos años, Intego ha demostrado una capacidad de respuesta envidiable (lo que no significa un endorsement o un patrocinio de faq-mac sino una opinión personal del Administrador, ojo).

Son los primeros en enviar las notas de prensa/boletines de seguridad ante una amenaza, y sus “competidores” ( y hay ya unos cuantos antivirus para Mac) no envían información … ni tan siquiera unos días después.

Me parece arriesgado poner en duda el trabajo de Intego. Otra cuestión es que a veces se pasen de alarmistas, pero es verdad que dedican tiempo y trabajo no solo a un antivirus sino también a otros programas de seguridad que otros desarrolladores y fabricantes no hacen para Mac.

————–
http://www.faq-mac.com

Anónimo
Anónimo
13 years ago

No ejecutando applets java cuando no estemos seguros para qué los necesitamos y sobre todo si van sin firmar.

Anónimo
Anónimo
13 years ago

Hola.
Muchas veces he leido por aqui, que gente normal tiene el correo de Steve Jobs, pues bien, me gustaria que alguien me lo pasara para escribirle o que alguien le dijera que implemente el USB 3.0 y la salida HDMI a los mac, que apenas nadie usa el firewire y muchisimo menos el firewire 800.
Nada mas

Administrador
13 years ago
Anónimo
Anónimo
13 years ago

Y esto es válido para cualquier sistema, la seguridad empieza en el usuario.

Anónimo
Anónimo
13 years ago

Muchisimas gracias por tu ayuda.
Un saludo

9
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x