Seguridad inform谩tica contra todo malware

Seguridad inform谩tica contra virus, phishing y spyware, protecci贸n del correo electr贸nico y navegaci贸n segura en internet.

Malware que atac贸 Macintosh



Muchas veces se dice que los usuarios que no tienen instalado Windows en su equipo tienen menos preocupaciones en cuanto a las amenazas de los virus. En realidad, ning煤n sistema operativo puede asegurar inmunidad o una protecci贸n antivirus total, ni el hecho de usar PC o Mac puede cambiar el hecho de tener que estar protegido contra malware o cualquier programa malicioso. Realmente los virus inform谩ticos son peque帽os archivos, generalmente s贸lo buscan explotar alguna vulnerabilidad conocida.

Se estima que se han desarrollado un cifra de aproximadamente 300 000 amenazas que explotaban vulnerabilidades del sistema operativo Windows. Este tipo de virus, una vez que han infectado archivos, si estos ficheros son compartidos, pueden ir perjudicando a usuarios, tengan o no Windows, si no est谩n protegidos. Frente a la cifra mencionada anteriormente, se estima que se han desarrollado unos 40 virus especificamente creados para atacar o manipular el sistema de Mac OS X, un n煤mero de amenazas muy inferior. Tal vez de ahi, la creencia de que al pasarte de una pc con Windows a un Mac, te puedes olvidar de los virus, cosa que nunca es asi. Un buen software antivirus, que adem谩s ofrezca una protecci贸n antispyware con defensas durante la navegaci贸n en internet, es algo que siempre es necesario en cualquier equipo.

Estos son algunos de los virus o amenazas que fueron creados para atacar Mac OS x:

  • Amphimix tambi茅n conocido como MP3Concept.A, MP3Virus.Gen, descubierto el 9 de abril del 2004. Es la prueba de un tipo de virus troyano, que conten铆颅a un archivo mp3 con una aplicaci贸n para reproductor, un archivo que aparentaba ser una canci贸n en mp3. Si se ejecutaba la aplicaci贸n, aparec铆a una ventana de di谩logo preguntando: “Yep, this is an application. So what is your iTunes playing right now?” y entonces se iniciaba el audio de la voz de un hombre riendose a carcajadas.
  • Hovdy.A tambi茅n conocido como AplS.aprilt.A, descubierto el 20 de junio del 2008, Hovdy.A es un virus troyano que explotaba una vulnerabilidad en el agente de escritorio remoto de Apple que permit铆a al software realizar comandos con acceso root.

    El troyano intenta instalar un determinado n煤mero de archivos en Mac desde varios lugares adem谩s de modificar la secuencia de acceso para seguir ejecut谩ndose indefinidamente salvo que se le detenga. Desciende la propia seguridad del sistema manipulando el firewall y creando varios accesos remotos y hacer cambios en la red, finalmente trata de recopilar informaci贸n a nivel local y la envia al atacante.

  • DNSChanger tambi茅n conocido OSX.RSPlug.A, descubierto el 31 de octubre 2007. Es otro virus troyano que se hacia pasar por un codec que permit铆a a los usuarios acceder a videos para adultos. El troyano modificaba las DNS en el ordenador atacado para redirigir al usuario a peligrosos sitios web que a su vez pueden instalar programas maliciosos.

    Al parecer, tambi茅n enviaba el tipo de CPU de Mac, la identificaci贸n del usuario UID y el hostname a la siguiente direcci贸n: http://85.255.121.37

  • Fromr.A tambi茅n conocido como AS.MW2004, MacOS.MW2004.Trojan, descubierto el 14 de mayo de 2004. Esta amenaza es un troyano Applescript aparentando ser un instalador de Microsoft Word 2004 que intentaba borrar el directorio raiz del usuario y todos sus contenidos. Aparec铆a como una modificaci贸n del icono de instalaci贸n de Microsoft.

    Nota: Si el usuario estaba logeado con permisos de root entonces se borraba el directorio raiz y todos los archivos y directorios contenidos, por el contrario, si el usuario no estaba logeado en root entonces saltaba un error de permiso denegado aunque posiblemente se borraban archivos y directorios dentro del directorio raiz.

  • Leap.A, descubierto el 18 de febrero de 2006. Leap.A es un virus gusano que actuaba via iChat enviando un archivo llamado “latestpics.gz” a todo el listado de contactos del usuario afectado.

    Una vez que el archivo ha sido enviado y la imagen JPEG ha sido clickeada para abrirla, el virus se escribe directamente en el disco. Instala un archivo llamado “apphook.bundle” en el directorio InputManagers del usuario o siguiendo la ruta /Library/InputManagers si se est谩 logeado con permiso root. Apphook.bundle intentar谩 enviar el archivo latestpics.gz a cualquier contacto que tengamos.

    El virus tiene adem谩s la capacidad de usar Spotlight para buscar las aplicaciones recientemente usadas para infectarlas con una copia del virus. Ir贸nicamente, debido a un error en el virus, la infecci贸n causa tambi茅n la corrupci贸n de la aplicaci贸n que no puede ser ejecutada de nuevo.

    En Intel Macs el troyano infectaba archivos pero no se enviaba via iChat.

  • InqTana, descubierto el 18 de febrero de 2006. InqTana fue un virus gusano que atacaba una vulnerabilidad de la tecnologia bluetooth de Apple.

    Los usuarios ten铆an que aceptar la transferencia de archivos, en total 3 ficheros para recibir el gusano que infectar铆a el equipo. Tras esto, explotando la vulnerabilidad del sistema bluetooth, el virus atraviesa la estructura de directorios y no se copia siguiendo la ruta normal sino en un directorio diferente. De este modo el virus queda activo en el equipo para cuando se vuelva a iniciar Mac, una vez encendido de nuevo, busca dispositivos bluetooth para seguir explotando.

    Nota: El gusano utilizaba una demo de una version comercial de software Bluetooth para hacer uso de una particular libreria pero siendo de tiempo limitado, no se replicaba.

    Esta vulnerabilidad fue corregida por Apple Security Update 2005-006

  • OSX.iWorkServices.A tambi茅n conocido como OSX.Iwork, OSX.iWorkS-A y OSX.Trojan.iServices.A, descubierto el 22 de enero de 2009. Se trata de un troyano que aparece como fichero comprimido con copias piratas de Apple’s iWork 09 en sitios web de BitTorrent. El archivo BitTorrent tiene un tama帽o aproximado de 450Mb y cuando se descarga tiene una carpeta llamada iWork.09, con un fichero comprimido, iWork09.zip, y un archivo de texto con un n煤mero clave, serial.txt.

    El fichero zip contiene una copia v谩lida de iWork 09 al igual que el virus troyano. Si se ejecuta el instalador del iWork 09 entonces se instala la copia buscada pero tambi茅n el virus.

    El instalador de iWorksServices se encuentra dentro del fichero de contenidos e instala el virus Trojan siguiendo la ruta /usr/bin/iWorkServices con archivos correspondientes en /System/Library/StartupItems/iWorkServices. El virus trata de conectar con un servidor remoto en internet durante la instalaci贸n permitiendo la descarga de malware. Los archivos contenidos en StartupItems aseguran que el troyano se ejecutar谩 cada vez que se reinicie Mac. Para eliminarlo una vez que se ha instalado en Mac, la ruta donde hay que buscarlo es: /usr/bin buscando ‘iWorkServices’ y ‘iworkservices’, terminando los procesos. Los directorios /System/Library/StartupItems/iWorkServices y /Library/Receipts/iWorkServices.pkg deben ser eliminados.

  • OSX.iServices.B tambi茅n conocido como OSX.iWorkS-B, descubierto el 26 de enero de 2009. Se trata de otro virus troyano contenido en un archivo comprimido que aparenta ser una copia pirata de Adobe PhotoShop CS4 que se pod铆颅a localizar en sitios web de BitTorrent.

    El archivo comprimido zip contiene una versi贸n comercial de Adobe PhotoShop CS4 al igual que una aplicaci贸n ejecutable que aparenta ser el medio para crackear la protecci贸n del n煤mero de clave o serial del software. Si se ejecuta el crack, se instala el virus en Mac. El troyano se copia a /usr/bin/DivX y a /private/var/tmp pero con un nombre de archivo variable, aleatorio pero del tipo tmp.0.ORbnHw. Archivos asociados se copian tambi茅n a /System/Library/StartupItems/DivX para asegurar la ejecuci贸n del virus cada vez que se inicia el equipo. El virus trata de conectarse a un servidor remoto en internet, freehostia.com:1024, para avisar de su activaci贸n y descargar malware. No es la primera vez que los individuos que se dedican a realizar estos ataques inform谩ticos, utilizan hosting gratuito para alojarse, entre otros, freehostia. Hay que borrar el troyano desde la ruta /usr/bin y en el directorio /private/var/tmp, eliminando tambi茅n el proceso y reiniciando Mac. La carpeta /System/Library/StartupItems/Divx debe ser borrada tambi茅n.

  • OSX.Jahlev.A tambi茅n conocido como RSPlug.D, descubierto el 23 de noviembre de 2008. Este tipo de virus troyano viene en el mismo grupo que RSPlug.A/ DNSChanger. Se puede encontrar en sitios para adultos donde aparenta ser una actualizaci贸n necesaria para arreglar errores en Active X que permitan ver los videos online. Si el usuario ve esta alerta la manera de salir de esa secuencia de di谩logo es cerrar el navegador evitando que se descargue el troyano al equipo. El virus se descarga en Mac como un archivo de extensi贸n dmg, como una imagen de disco que lanza un instalador en el escritorio llamado “install.pkg”. Cuando se hace doble click para abrir el instalador aparece una ventana de instalaci贸n con el nombre “MacAccess”. La diferencia con RSPlug.A es que incluye bastantes scripts para conectar con servidores remotos, enviando informaci贸n del equipo como la versi贸n del sistema operativo, la direcci贸n IP, el tipo de procesador y descarga malware al Mac del usuario.
  • OSX.Jahlav.B tambi茅n conocido como RSPlug.E, descubierto el 2 de diciembre de 2008. Se trata de una variante del virus OSX.Jahlav.A/RSPLug.D pero realmente cambia el nombre ya que el funcionamiento es el mismo que se describe m谩s arriba en el art铆culo, un virus que se descarga fingiendo ser un parche para unos errores de Active X que permitan ver videos online para adultos.
  • OSX.Lamzev.A tambi茅n conocido Troj/RKOSX-A y OSX.TrojanKit/Malez, descubierto el 17 de noviembre 2008. Si el virus se ejecuta, copia un archivo llamado ezmal en /Applications. Una aplicaci贸n de host se copia en la ruta /Application//Contents/MacOS/2 y seguidamente crea un archivo en /Application//Contents/MacOS/1 que instala y ejecuta un backdoor. Un archivo llamado com.apple.Docksettings se copia en ~/Library/LaunchAgents para asegurar que el backdoor se activa cada vez que se inicia Mac.
  • OSX.RSPlug.F tambi茅n conocido como OSX.RSPlug.G, descubierto el 20 de marzo de 2009. Este virus es una variante de DNSChanger/RSPlug que modifica las opciones establecidas para redes, cambiando las DNS de la configuraci贸n del servidor y causando una redirecci贸n hacia sitios web peligrosos que pueden descargar malware mientras el usuario accede y navega en internet. Este troyano ha sido posteado en varios sitios web como un instalador para Avid Express Pro, aunque el t铆tulo real que aparece en la aplicaci贸n del instalador es MacCinema.

    Cuando se ejecuta el instalador, el troyano se instala con un cronjob o tarea programada, para asegurar que el virus se ejecuta con un intervalos programados. Las DNS modificadas, tienen habitualmente entradas asociadas con la direcci贸n 85.255.112

publicidad




Temas:

Si te parecio interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados, te avisaremos de noticias, utilidades para proteger tu ordenador y consejos para la navegacion segura en internet.

Puedes compartir la entrada en algunas redes sociales:



Publicaciones relacionadas:


2 Comentarios

  1. Para m铆 esto lleg贸 un poco tarde, los dos Mac que he adquirido se han visto afectados por virus. En la tienda Apple no se han hecho cargo de los fallos y la p茅rdida de datos porque aseguran que NO existen virus que afecten a Mac. Recurr铆 a un especialista no oficial y me ense帽贸 que existe mucho malware para Mac y que trabajando para la Secretar铆a de Hacienda me vuelvo blanco constante de estos ataques por el tipo de informaci贸n sensible que suelo manejar.

    Pues bien, he decidido jam谩s usar equipos de esta compa帽铆a de nuevo. Me ha gustado mucho leer tu art铆culo, voy a publicitarlo entre mis compa帽eros porque es un problema recurrente para mi equipo de trabajo y que tiene un elevad铆simo costo en tiempo y trabajo.

    Ojal谩 tuvieras el tiempo de enviarme una lista actualizada de malware que afecta a Mac e informaci贸n referente a los mecanismos de “contagio” que usan. Agradecido de antemano: Arturo.

  2. Arturo, es extra帽o que en el soporte t茅cnico de Apple no te indicaran que s铆 existen virus que afectan a Mac y por ello hay protecci贸n antivirus de diferentes desarrolladores para el sistema operativo de Apple. M谩s bien lo que ocurre es que hay mucho menos malware que contra Windows.

    F铆jate en los sitios web de:

    http://www.protectmac.com/antivirus/
    http://www.clamxav.com/about.php

    Suelen avisar de actualizaciones y noticias sobre posibles amenazas.

Dar una opini贸n

Gracias por aportar tu punto de vista al respecto.