Primer troyano para MacOSX :UPDATED3:

Intego, el especialista en seguridad para Macintosh, ha actualizado sus definiciones para antivirus hoy mismo para proteger a los usuarios sobre una nueva amenaza: el primer troyano para MacOSX: MP3Concept.

Estre trojano viene encapsulado en un falso MP3 (MP3virus.gen), y se aprovecha de una debilidad en MacOSX en la que las aplicaciones pueden aparecer bajo el aspecto de otros tipos de archivos.

El Troyano está encapsulado en la etiqueta ID3 de un MP3 (archivo de música digital). Este código es en realidad una aplicación escondida que funciona en cualquier Mac con MacOSX.

MacOSX muestra el icono de este MP3, y con la extensión .MP3, en vez de mostrar el archivo como una aplicación, llevando a los usuarios a hacer doble click en el archivo para escucharla. Pero al hacer doble click se lanza el código malicioso que puede dañar o borrar archivos en ordenadores con MacOSX. Entonces iTunes reproduce el archivo de manera que el usuario piense que es un archivo de audio normal. Aunque la primera versión de este Troyano analizada y aislada por Intego puede considerarse como benigna, la técnica abre la puerta a riesgos mucho mas serios.

Este Troyano puede potencialmente realizar las siguientes acciones:

– borrar todos los archivos personales de los usuarios

– reenviarse a través de correo electrónico

– infectar otros mp3, jpg, gif o películas Quicktime.

Por el riesgo que implica, abrir un mp3 con doble click en MacOSX no se puede considerar como una acción segura. Esta misma técnica puede darse en archivos jpg y gif, aunque no se han dado casos aun de este tipo de infección.

VirusBarrier de Intego es capaz de eliminar este troyano, y la empresa asegura que su antivirus será capaz de eliminar virus y troyanos que utilicen esta misma táctica. Los usuarios de este antivirus deben actualizarse de inmediato y mantener sus definiciones al día.

A hora de este artículo Virex ni Symantec (Norton Antivirus) no han actualizado aún su definición de virus (Virex), que data de fecha 25 de marzo de 2004, según figura en Versiontracker.

Una buena manera de evitar este problema es no hacer doble click en archivos MP3 recibidos hasta asegurarse de no se encuentran infectados y rechazar este tipo de archivos de los correos de personas desconocidas. Muy atentos también a los archivos comprimidos enviados por desconocidos que al descomprimir incluyen un archivo AppleScript que puede parecer inocente pero puede lanzar el archivo infectado que puede llevar la etiqueta de invisible. Una buena manera de reconocer esta técnica de infección es controlar el peso de los archivos dentro de esa carpeta y del tamaño general de la carpeta, si existe una diferencia notable, puede haber un archivo invisible dentro de la misma.

:UPDATED2:

McAfee ha publicado un beta de su nueva versión de antivirus, que alcanza el número 7.5. Virex añade una revisión de su motor de escaneado, escaneo bajo demanda, escaneo y actualización programables, ayuda en línea, escaneo por arastrar-y-soltar, actualización electrónica automática y el ultimo motor de antivirus de McFee, el 4240, pero no se nombra en ningun momento por parte de esta empresa si esta beta es capaz de lidiar con el nuevo troyano Mp3Concept. Para mas información acerca de las funcionalidades de esta beta, McAfee ha dispuesto un documento informativo.

:UPDATE:

Cómo identificar estos archivos

Aunque el aspecto y forma de este troyano es el de un MP3, hay dos maneras muy sencillas de identificarlo como un archivo agresivo. En el caso de macOSX simplemente haciendo un «obtener información» (Comando + i) y observando el campo Tipo: si está marcado como aplicación (a pesar de que el finder lo muestre como mp3, con su extensión y todo) tenremos un firme candidato de este troyano que debe ser inmediatamente arrojado a la papelera sin ser ejecutado por doble click. Otra manera de identificar el archivo es usando un editor de recursos o alguna aplicación que lea las Flags del archivo: alli nos volveremos a encontrar con que un simple MP3 esta marcado como APPL o aplicación.

En esta imagen podemos ver como sería un cuadro de información de un archivo MP3 que evidentemente, es un troyano camuflado:

virusMP3.jpg
En el recuadfro, los datos de interés, vemos como el archivo está realmente marcado como aplicación

Symantec por su parte, esta advertida de este virus y aunque no se encuentra el la lista de respuesta inmediata por parte de la empresa creadora de el Antivirus Norton, Symantec indica que siguen con interés el tema y otras potenciales amenazas a MacOSX. Además, Symantec ha lanzado unas nuevas definiciones de virus (8 de Marzo del 2004) en las que en la nota de versiontracker no se indica (pero sí es muy problable) que se incluya este troyano en sus capacidades de detección.

:UPDATED3:

Apple ha respondido acerca de la vulnerabilidad explotada por este troyano lanzada por intego estos pasados días: «Estamos advertidos del problema potencial identificado por Intego y estamos trabajando activamente en el», ha comentado Apple; «Aunque ningún sistema operativo puede ser completamente seguro para todas las amenazas, Apple tiene un excelente registro sobre la identificación y corrección de vulnerabilidades potenciales».

Mientras, Intego ha publicado un documento con preguntas y respuestas relacionadas con este Trojano. El documento ofrece información completa y detalles técnicos así como una explicación de cómo funciona este troyano.

Faq-mac.com, por su parte, ha publicado una pequeña aplicación capaz de detectar archivos que se encuentran en la categoría de este Torjano, AntiAPPL 1.0 y permite la posibilidad de eliminarlos.

24 Comments

  1. Anónimo

    Erizo, SON las companyias antivirus las que crean los virus, tal y como las companyias de alarmas pagan a los ladrones, o como los estados unidos crean las guerras para luego ganarlas… es cuestion de negocios!! pa los virus? sentido comun y no andarse bajando mp3 de ningun lado, empezamos a usar AAC y hale, aunque esto tb podria haber sido una maniobra de apple para que usemos AAC… bueno, que mas da, no?? windows tiene 15 trillones de virus y sin embargo todo dios lo usa!

  2. Anónimo

    He usado el Virex 7.2 para detectar ell virus ese del mp3 y ni lo huele, aun poniendo el modo de detectar macros y apicaciones con virus desconocidos.

    Tendre que usar el programita de Kualo o mirar la info del fichero.

  3. Anónimo

    Esto no es un virus, es un troyano. Otra cosa, por el momento es solo una demostracion de la vulnerabilidad y no puede provocar danos. Aunque conviene tener cuidado. No se limita a archivos MP3, archivos AAC, JPEG, GIF, etc. tienen porciones donde se puede almacenar codigo a ejecutar.

    La verdad es q la idea es bastante ingeniosa, pq tambien se pueden disfrazar AppleScripts e intentar enganar al usuario para ejecutarlo, pero este troyano esta bastante elaborado.

    Me imagino q en unos dias tendremos una actualizacion de seguridad q resolvera esto desde el propio OS.

    Mientras tanto lo mismo es bueno ir pensando en dos cosas:

    1) Los Macs y sistemas basados en Unix no son invulnerables

    y 2) De verdad es necesario tener privilegios de admistrador para el uso diario del ordenador?

  4. Anónimo

    La verdad es que la cantidad de problemas de seguridad que te puedes ahorrar usando sistemas Unix como usuario sin privilegios es muy grande. A ver si cambiamos las costumbres.

  5. Anónimo

    He leído en la web de Intego que la vulnerabilidad se da sólo utilizando la forma de funcionar de programas carbon, que añaden una serie de recursos aparte de los datos a un fichero para que resulten ejecutables; si eso es cierto bastaría con guardar el fichero a disco y quitarle sus recursos (resource fork) para hacerlo completamente inofensivo, de hecho hay programas en OS X pensados para hacer eso, mirad algunos (y GRATUITOS):

    ResourceDropper
    http://www.macupdate.com/info.php/id/9255

    GrimRipper
    http://www.macupdate.com/info.php/id/9105

    El primero funcionaría con arrastrar y soltar, el segundo con un menú contextual, y ambos servirían para hacer «seguro» cualquier fichero sospechoso de tener código ejecutable…

  6. Anónimo

    Lo que no acabo de entender es la bendita manía de usar antivirus en Mac OS X. ¿Para qué sirven? Para absolutamente nada. A no ser que reenviemos a propósito los virus que recibimos a los usuarios de Windows, me parece tirar a la basura tiempo y dinero.

    Por otra parte, no deja de ser curioso que unos autodenominados «expertos en seguridad para Mac» tengan el web montado en Windows. 🙂

    http://uptime.netcraft.com/up/graph/?host=www.intego.com

  7. Anónimo

    Vulnerables?
    Nunca me ha entrado ningún virus en el mac, aunque tampoco me han atacado las abejas africanas (Bowling for Colombine). Este virus es bastante estúpido, si lo pensais. Si os llega un mp3 como ese, de verdad lo abriríais? Es un troyano bastante chorra. Esto es lo mas peligroso que tenemos. QUÉ VULNERABLES SOMOS!!! <- ironía De todas formas, a lo mejor es el principio del apocalipsis.

  8. Anónimo

    Primero de todo que rectifico mi primer comentario, no voy a usar antivirus.

    Borja Marcos, yo lo que quiero decir simplemente es que si vas pensando «a mi nunca me va a pasar nada», «mi sistema es el más seguro», o sea, que si vas tan confiado te puedes encontrar sorpresas. Siempre hay que estar al tanto de la seguridad por muy seguro que sea el S.O..

    Salu2 🙂

  9. Anónimo

    Resumiendo, SuPeR4, estás de acuerdo conmigo 🙂

    Por supuesto, todos los sistemas operativos tienen problemas de seguridad. Son programas enormemente complejos.

    Mac OS X tiene alguna cosilla discutible desde el punto de vista de la seguridad y no, no es invulnerable. Pero desde luego no es un coladero como Windows. Lo malo de que el sistema que tiene el monopolio sea tal basura es que la mayoría de la gente generaliza teniendo en cuenta su única experiencia y piensa que todos los sistemas operativos deben ser así, que la única razón por la que Mac OS X no tiene virus es porque hay menos, etc, etc.

    Y no, no es lo mismo. Es evidente que una persona que pesa 120 kilos y una que pesa 300 tienen un problema de salud. Pero creo que también es evidente que el segundo tiene un problema muchísimo más grave que el primero.

    Teniendo en cuenta todo esto, yo, que me dedico a la seguridad, trabajo *exclusivamente* con Unix desde 1990 más o menos. Desde el 95 usaba FreeBSD, y desde hace un año he adoptado también Mac OS X.

    Obviamente, el riesgo no es 0, pero tampoco tengo esa sensación de ser carne de cañón que deben sentir los usuarios de Windows, ni me encuentro todos los días programas instalados por arte de birlibirloque; tampoco veo actividad de red extraña procedente de mis máquinas.

    Definitivamente, hay una diferencia importante. ¿No crees? 🙂

  10. Anónimo

    yo no creo que eso sea un virus. Mas bien es un problema de que las aplicaciones en mac pueden tener cualquier tipo de extension. Ese tipo de virus en pc existen desde los famosos .bat que ejectuban un bath de ordenes entre las que podía estar borrar cualquier cosa. Pero en claro con windows las aplicaciones tienes su .exe al final que no se peude quirar. Ventaja y desventaja del mac.

  11. Anónimo

    quisiera que me dijeran de una manera un poco mas sencilla como eliminar los virus y como hacerlo.he leido la pagina y casi que no me he enterado del todo.
    gracias de antemano

Deja una respuesta