Seguridad informática contra todo malware

Seguridad informática contra virus, phishing y spyware, protección del correo electrónico y navegación segura en internet.

Malware que atacó Macintosh



 

Muchas veces se dice que los usuarios que no tienen instalado Microsoft Windows en su equipo tienen menos preocupaciones en cuanto a las amenazas de los virus. En realidad, ningún sistema operativo puede asegurar inmunidad o una protección antivirus total, ni el hecho de usar PC o Mac puede cambiar una obviedad tan básica como tener que estar protegido contra malware o cualquier programa malicioso. Realmente los virus informáticos son pequeños archivos, generalmente sólo buscan explotar alguna vulnerabilidad conocida.

Se estima que se han desarrollado un cifra de aproximadamente 300 000 amenazas que explotaban vulnerabilidades del sistema operativo Windows. Los crackers o delincuentes especializados en delitos informáticos centraron históricamente su actividad en el sistema operativo Windows porque fue el que mayor cuota de mercado había alcanzado, pues Microsoft dominó los ordenadores personales donde la mayoría de usuarios domésticos y hogares usaban Windows, a diferencia de los ordenadores de universidades que usan sistemas operativos Unix o distribuciones Linux, rechazando el software privado con licencias de pago. Este tipo de virus, una vez que han infectado archivos, si estos ficheros son compartidos, pueden ir perjudicando a otros usuarios, tengan o no el sistema operativo Windows, si no están protegidos.

Frente a la cifra mencionada anteriormente, se estima que se han desarrollado unos 40 virus específicamente creados para atacar o manipular el sistema operativo Mac OS X de Apple, un número de amenazas muy inferior. Tal vez de ahí proviene la creencia de que al pasarte de una computadora con Windows a un Mac, te puedes olvidar de los virus, cosa que nunca es asi. Un buen software antivirus, que además ofrezca una protección antispyware con defensas durante la navegación en internet, es algo que siempre es necesario en cualquier equipo.

Estos son algunos de los virus o amenazas de software malicioso que fueron creados para atacar Apple Mac OS X:

  • Amphimix también conocido como MP3Concept.A, MP3Virus.Gen, descubierto el 9 de abril del 2004. Es la prueba de un tipo de virus troyano, que contení­a un archivo mp3 con una aplicación para reproductor, un archivo que aparentaba ser una canción en formato audio mp3. Si se ejecutaba la aplicación, aparecía una ventana de diálogo preguntando: “Yep, this is an application. So what is your iTunes playing right now?” y entonces se iniciaba el audio de la voz de un hombre riéndose a carcajadas.
  • Hovdy.A también conocido como AplS.aprilt.A, descubierto el 20 de junio del 2008, Hovdy.A es un virus troyano que explotaba una vulnerabilidad en el agente de escritorio remoto de Apple que permitía al software realizar comandos con acceso root.

    El troyano intenta instalar un determinado número de archivos en Mac desde varios lugares además de modificar la secuencia de acceso para seguir ejecutándose indefinidamente salvo que se le detenga. Desciende la propia seguridad del sistema manipulando el firewall y creando varios accesos remotos y hacer cambios en la red, finalmente trata de recopilar información a nivel local y la envía al atacante.

  • DNSChanger también conocido OSX.RSPlug.A, descubierto el 31 de octubre 2007. Es otro virus troyano que se hacía pasar por un códec que permitía a los usuarios acceder a vídeos para adultos y por pecado de lujuria, muchos usuarios cayeron en un ataque informático. El troyano modificaba las DNS en el ordenador atacado para redirigir al usuario a peligrosos sitios web que a su vez pueden instalar programas maliciosos mediante descarga.

    Al parecer, también enviaba el tipo de CPU de Mac, la identificación del usuario UID y el hostname a la siguiente dirección: http://85.255.121.37

  • Fromr.A también conocido como AS.MW2004, MacOS.MW2004.Trojan, descubierto el 14 de mayo de 2004. Esta amenaza es un troyano Applescript aparentando ser un instalador de Microsoft Word 2004 que intentaba borrar el directorio raíz del usuario y todos sus contenidos. Aparecía como una modificación del icono de instalación de Microsoft.

    Nota: Si el usuario estaba logeado con permisos de root entonces se borraba el directorio raíz y todos los archivos y directorios contenidos, por el contrario, si el usuario no estaba logeado en root entonces saltaba un error de permiso denegado aunque posiblemente se borraban archivos y directorios dentro del directorio raiz.

  • Leap.A, descubierto el 18 de febrero de 2006. Leap.A es un virus gusano que actuaba vía iChat enviando un archivo llamado “latestpics.gz” a todo el listado de contactos del usuario afectado.

    Una vez que el archivo ha sido enviado y la imagen JPEG ha sido clickeada para abrirla, el virus se escribe directamente en el disco. Instala un archivo llamado “apphook.bundle” en el directorio InputManagers del usuario o siguiendo la ruta /Library/InputManagers si se está logeado con permiso root. Apphook.bundle intentará enviar el archivo latestpics.gz a cualquier contacto que tengamos.

    El virus tiene además la capacidad de usar Spotlight para buscar las aplicaciones recientemente usadas para infectarlas con una copia del virus. Irónicamente, debido a un error en el virus, la infección causa también la corrupción de la aplicación que no puede ser ejecutada de nuevo.

    En Intel Macs el troyano infectaba archivos pero no se enviaba vía iChat.

  • InqTana, descubierto el 18 de febrero de 2006. InqTana fue un virus gusano que atacaba una vulnerabilidad de la tecnología bluetooth de Apple.

    Los usuarios tenían que aceptar la transferencia de archivos, en total 3 ficheros para recibir el gusano que infectaría el equipo. Tras esto, explotando la vulnerabilidad del sistema bluetooth, el virus atraviesa la estructura de directorios y no se copia siguiendo la ruta normal sino en un directorio diferente. De este modo el virus queda activo en el equipo para cuando se vuelva a iniciar Mac, una vez encendido de nuevo, busca dispositivos bluetooth para seguir explotando.

    Nota: El gusano utilizaba una demo o versión demostrativa de prueba para 30 días, de una versión comercial de software Bluetooth para hacer uso de una particular librería de archivos pero siendo de tiempo limitado, no se replicaba al ser borrado.

    Esta vulnerabilidad fue corregida por Apple Security Update 2005-2006

  • OSX.iWorkServices.A también conocido como OSX.Iwork, OSX.iWorkS-A y OSX.Trojan.iServices.A, descubierto el 22 de enero de 2009. Se trata de un troyano que aparece como fichero comprimido con copias piratas de Apple’s iWork 09 en sitios web de BitTorrent. El archivo BitTorrent tiene un tamaño aproximado de 450Mb y cuando se descarga tiene una carpeta llamada iWork.09, con un fichero comprimido, iWork09.zip, y un archivo de texto con un número clave, serial.txt.

    El fichero comprimido en formato zip contiene una copia válida de iWork 09 al igual que el virus troyano. Si se ejecuta el instalador del iWork 09 entonces se instala la copia buscada pero también el virus.

    El instalador de iWorksServices se encuentra dentro del fichero de contenidos e instala el virus Trojan siguiendo la ruta /usr/bin/iWorkServices con archivos correspondientes en /System/Library/StartupItems/iWorkServices. El virus trata de conectar con un servidor remoto en internet durante la instalación permitiendo la descarga de malware. Los archivos contenidos en StartupItems aseguran que el troyano se ejecutará cada vez que se reinicie Mac. Para eliminarlo una vez que se ha instalado en Mac, la ruta donde hay que buscarlo es: /usr/bin buscando ‘iWorkServices’ y ‘iworkservices’, terminando los procesos. Los directorios /System/Library/StartupItems/iWorkServices y /Library/Receipts/iWorkServices.pkg deben ser eliminados.

  • OSX.iServices.B también conocido como OSX.iWorkS-B, descubierto el 26 de enero de 2009. Se trata de otro virus troyano contenido en un archivo comprimido que aparenta ser una copia pirata de Adobe PhotoShop CS4 que se podí­a localizar en sitios web de BitTorrent.

    El archivo comprimido zip contiene una versión comercial de Adobe PhotoShop CS4 al igual que una aplicación ejecutable que aparenta ser el medio para crackear la protección del número de clave o serial del software. Si se ejecuta el crack, se instala el virus en Mac. El troyano se copia a /usr/bin/DivX y a /private/var/tmp pero con un nombre de archivo variable, aleatorio pero del tipo tmp.0.ORbnHw. Archivos asociados se copian también a /System/Library/StartupItems/DivX para asegurar la ejecución del virus cada vez que se inicia el equipo. El virus trata de conectarse a un servidor remoto en internet, freehostia.com:1024, para avisar de su activación y descargar malware.

    No es la primera vez que los individuos que se dedican a realizar estos ataques informáticos, utilizan hosting gratuito para alojarse, entre otros, freehostia. Hay que borrar el troyano desde la ruta /usr/bin y en el directorio /private/var/tmp, eliminando también el proceso y reiniciando Mac. La carpeta /System/Library/StartupItems/Divx debe ser borrada también.

  • OSX.Jahlev.A también conocido como RSPlug.D, descubierto el 23 de noviembre de 2008. Este tipo de virus troyano viene en el mismo grupo que RSPlug.A/ DNSChanger. Se puede encontrar en sitios para adultos donde aparenta ser una actualización necesaria para arreglar errores en Active X que permitan ver los vídeos online. Si el usuario ve esta alerta la manera de salir de esa secuencia de diálogo es cerrar el navegador evitando que se descargue el troyano al equipo. El virus se descarga en Mac como un archivo de extensión dmg, como una imagen de disco que lanza un instalador en el escritorio llamado “install.pkg”. Cuando se hace doble click para abrir el instalador aparece una ventana de instalación con el nombre “MacAccess”. La diferencia con RSPlug.A es que incluye bastantes scripts para conectar con servidores remotos, enviando información del equipo como la versión del sistema operativo, la dirección IP, el tipo de procesador y descarga malware al Mac del usuario.
  • OSX.Jahlav.B también conocido como RSPlug.E, descubierto el 2 de diciembre de 2008. Se trata de una variante del virus OSX.Jahlav.A/RSPLug.D pero realmente cambia el nombre ya que el funcionamiento es el mismo que se describe más arriba en el artículo, un virus que se descarga fingiendo ser un parche para unos errores de Active X que permitan ver vídeos online para adultos. Otra vez la vulnerabilidad explotaba la debilidad de la voluntad humana en el pecado de lujuria.
  • OSX.Lamzev.A también conocido Troj/RKOSX-A y OSX.TrojanKit/Malez, descubierto el 17 de noviembre 2008. Si el virus se ejecuta, copia un archivo llamado ezmal en /Applications. Una aplicación de host se copia en la ruta /Application//Contents/MacOS/2 y seguidamente crea un archivo en /Application//Contents/MacOS/1 que instala y ejecuta un backdoor. Un archivo llamado com.apple.Docksettings se copia en ~/Library/LaunchAgents para asegurar que el backdoor (puerta trasera) se activa cada vez que se inicia Mac.
  • OSX.RSPlug.F también conocido como OSX.RSPlug.G, descubierto el 20 de marzo de 2009. Este virus es una variante de DNSChanger/RSPlug que modifica las opciones establecidas para redes, cambiando las DNS de la configuración del servidor y causando una redirección hacia sitios web peligrosos que pueden descargar malware mientras el usuario accede y navega en internet. Este troyano ha sido publicado en varios sitios web como un instalador para Avid Express Pro, aunque el título real que aparece en la aplicación del instalador es MacCinema, aludiendo de forma engañosa a Mac.

    Cuando se ejecuta el instalador, el troyano se instala con un cronjob o tarea programada, para asegurar que el virus se ejecuta con un intervalos programados. Las DNS modificadas, tienen habitualmente entradas asociadas con la dirección 85.255.112

publicidad




Temas:

Si te parecio interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados, te avisaremos de noticias, utilidades para proteger tu ordenador y consejos para la navegacion segura en internet.

Puedes compartir la entrada en algunas redes sociales:



Publicaciones relacionadas:


2 Comentarios

  1. Para mí esto llegó un poco tarde, los dos Mac que he adquirido se han visto afectados por virus. En la tienda Apple no se han hecho cargo de los fallos y la pérdida de datos porque aseguran que NO existen virus que afecten a Mac. Recurrí a un especialista no oficial y me enseñó que existe mucho malware para Mac y que trabajando para la Secretaría de Hacienda me vuelvo blanco constante de estos ataques por el tipo de información sensible que suelo manejar.

    Pues bien, he decidido jamás usar equipos de esta compañía de nuevo. Me ha gustado mucho leer tu artículo, voy a publicitarlo entre mis compañeros porque es un problema recurrente para mi equipo de trabajo y que tiene un elevadísimo costo en tiempo y trabajo.

    Ojalá tuvieras el tiempo de enviarme una lista actualizada de malware que afecta a Mac e información referente a los mecanismos de “contagio” que usan. Agradecido de antemano: Arturo.

  2. Arturo, es extraño que en el soporte técnico de Apple no te indicaran que sí existen virus que afectan a Mac y por ello hay protección antivirus de diferentes desarrolladores para el sistema operativo de Apple. Más bien lo que ocurre es que hay mucho menos malware que contra Windows.

    Fíjate en los sitios web de:

    http://www.protectmac.com/antivirus/
    http://www.clamxav.com/about.php

    Suelen avisar de actualizaciones y noticias sobre posibles amenazas.

Enviar un comentario

Gracias por aportar tu punto de vista al respecto.