Troyano Mac OS X: latestpics.tgz
Publicado el 16 Febrero 2006 por juandesantActualización: añadido un post-postscriptum para comentar el artículo de Macworld sobre cómo funciona, en la vida real, OSX/LeapA, “Digging in the Leap-A malware”
Actualización: Cambiado el título: se me había escapado la grafía inglesa, y nadie ha dicho nada ;-)
Al parecer, Mac OS Rumors daba cuenta de un virus para Mac OS X que al final ha resultado ser otra cosa: un Troyano. (La diferencia fundamental es que un troyano es un programa que pretende ser otra cosa, y que sólo se ejecuta cuando el usuario lo activa; un virus es capaz de ejecutarse por sí mismo en la máquina destino)
El troyano se propaga mediante el servicio de mensajería Bonjour de iChat, y se hace pasar por un conjunto de fotografías comprimidas con pantallazos de Leopard (Mac OS X 10.5). El archivo originalmente se llamaba con latestpics.tgz, y fue publicado en los foros de Mac OS Rumors.
El enlace más informativo sobre este troyano está en los foros de Ambrosia Software:
Según este enlace, el troyano te infecta si se dan los tres pasos siguientes:
- Se recibe el archivo por cualquier medio
- Se hace doble clic en el archivo para descomprimirlo
- Se hace doble clic en el resultado descomprimido
Y además de esto, se valida la ejecución del programa —primer aviso de que se trata de un programa— con la contraseña de administrador si no estás utilizando un usuario administrador.
Más cosas a tener en cuenta:
- Lo más importante: no puede infectarte por el solo hecho de recibirlo.
- Es capaz de propagarse por sí mismo… pero no de ejecutarse en el destino. En ese aspecto, se parece a algunos virus (troyanos) que se propagan por Bluetooth
- Utiliza un icono de imagen JPEG para ocultar el hecho de que es un programa. Si utilizamos el panel de información o un inspector del Finder, veremos que el tipo no es JPEG, sino Aplicación (PowerPC).
- Si no eres administrador, tienes que introducir la clave de un usuario administrador.
- Es una especie de prueba de concepto, porque lo único que hace es enviarse.
- No utiliza ningún fallo de seguridad, sino ingeniería social para intentar convencerte de que abras las imágenes.
- Utiliza la tecnología de Input Managers para infectar las aplicaciones: crea un archivo
apphook.bundleen la carpeta~/Library/InputManagersdel usuario (salvo que sea root, en cuyo caso lo deja en/Library/InputManagers.
Así que es recomendable revisar la carpeta /Library/InputManagers y ~/Library/InputManagers para comprobar que lo que hay es lo que se ha instalado. Precisamente la capacidad de los Input Managers para modificar una aplicación tal y como les plazca ha llevado a una discusión sobre el comportamiento de Smart Crash Reports, un Input Manager que se instalaba, hasta ahora, sin avisar. Unsanity ha decidido que, después de todo, la conveniencia no supera a las buenas maneras, y que ahora los usuarios tendrán que permitir la instalación de Smart Crash Reports de forma independiente a la aplicación que lo utiliza.
Seguramente este incidente hará que Apple modifique Mac OS X para que siempre exista una carpeta ~/Library/InputManagers por defecto en cada usuario, con permisos especiales que eviten la instalación de software malicioso de forma subrepticia.
Vía Slashdot
ps. Al parecer, hay una definición del virus por parte de Sophos para su antivirus, y ellos lo clasifican como worm (gusano). Gusano era el término que se daba a los programas que podían propagarse de una máquina a otra por sí mismos, sin infectar programas, pero ralentizando la máquina. Este troyano depende del usuario para su propagación.
pps. Macworld ha sacado (gracias, Javier) un artículo en el que se ha preparado un par de Macs para ver cómo quedan afectados por el malware Leap-A. Lo más importante es lo siguiente:
- Sólo se propaga mediante Bonjour a través de iChat
- En cualquier caso, SIEMPRE hay que aceptar un archivo… que pesa unos cuantos MB.
- Cuando se hace doble clic en el archivo
latestpics.tgz, se abre una ventana de terminal, lo que es bastante sospechoso. - Deben producirse cambios en los estados de otros usuarios Bonjour para que Leap-A los detecte (por ejemplo, aparecer en la lista, o si ya estaban desde el principio, cambiar de inactivo a activo)
- No es capaz de infectar —aunque sería fácil de “arreglarlo”— las aplicaciones instaladas por el Sistema en
/Applications - Cuando se lanza una aplicación susceptible de ser infectada, se cambia el código para que lo próximo que se lance sea el gusano, y se pierde la funcionalidad de la aplicación
- Cuando se intenta lanzar una aplicación ya infectada, se reinstalan los archivos del troyano/gusano/virus, por si se hubiera eliminado
- La recuperación del ataque implica borrar los archivos que se encuentran en
/tmp, borrar la carpeta~/Library/InputManagersdel usuario afectado, borrar todas las copias que pueda haber delatestpics.tg, y reinstalar
Mi recomendacion.
Finder -> Preferencias -> Avazado
Activar la casilla “Mostrar todas las extensiones de los archivos”
Asi al menos sabemos sobre que hacemos doble clic
[...] Ahora si, ni los diseñadores de Mac están a salvo de los virus, pues se ha reportado el primer virus para una MAC. El virus de nombre OSX/Leap-A (también conocido como OSX/Oompa-A). Se transmite via iChat a todos los contactos de la máquina infectada enviándoles el archivo latestpics.tgz (formato comprimido). Al descomprimir el archivo aparece un gráfico JPEG para que el usuario no sospeche, mientras el gusano utiliza el texto “oompa” para marcar los archivos infectados. Apesar que no tiene mayor gravedad el asunto, al haber ya un primer gusano, nadie niega que podrían venir más. En fac-mac tenemos un completo análisis del gusano. [...]
Dos apuntes.
Primero, recalcar que este caso vuelve a demostrar que el eslabón más débil en la cadena de la seguridad de una máquina es el usuario.
Pero también significa que ahora OSX va a ser objeto de las miradas de los creadores de estas cositas maliciosas, y aparecerán más casos como este. No me queda la menor duda de que OSX es más seguro que Windows, pero ¿cuántos usuarios de Mac no tenían activada la opción de ver la extensión de los ficheros en el Finder hasta ayer? Caer en la trampa de este troyano es facilísimo si usamos el ordenador para descargar contenidos de procedencia dudosa. ¿Una película, un mp3? Cualquier cosa puede ser lo que no aparenta ser, y aunque el troyano no disponga de permisos de administración puede hacer algún destrozo importante en nuestra cuenta de usuario…
Para estar totalmente seguros, yo abriría este tipo de archivos “conflictivos” desde la aplicación con la que los voy a abrir, no confiando en el doble-click.
¿Si hago un programa con RealBasic que intente borrar el directorio del usuario, le pongo el icono de iTunes y lo llamo “madonna.mp3.app” también cuenta como virus?
xDDDD
De todas formas se rompe un tópico que llevaba un cierto tiempo establecido, y que tenía cierto encanto, y es que la gente no escribía malware para Mac OS X —aunque fuesen simples troyanos— porque le tenían simpatía…
De todas formas, como indico en el artículo, se estaba tratando recientemente la capacidad de modificación de aplicaciones que permiten los Input Managers, y me reitero en que este incidente va a provocar que las carpetas de Input Managers tengan, a partir de muy pronto, un trato especial…
[...] « Trojano Mac OS X: latestpics.tgz | Principal | [...]
Pues yo no acabo de verlo como un virus, (de hecho no lo es) sobre todo porque si sólo se transmite por redes Bonjour, ¿cómo va a infectar a un gran número de Macs? Tendría que venir a nuestra red local un Mac infectado para saltar, vamos que me parece de risa darle tanta relevancia comparado con los virus de PC que se autoenvían por Internet, o que hacen de las máquinas zombies controlables para ataques de hackerismo varios…
Por cierto, ¿alguien de nosotros lo ha recibido? Yo sigo sin tener la ilusión de ver un virus en mis Mac desde que dejé casi de usar OS 9 ;)
¡Hola, Jesús!
Lo “malo”, entre comillas, es que no costaría tanto que el virus se enviase por iChat a través de AIM, y que lo que envíe sea algo como el Renepo o el Cowhand, que sí que abren el ordenador para malware posterior, o control remoto.
Eso sí, siempre sería muy evidente que algo raro está pasando, y no hay nada que sea como la infección inmediata que se puede producir cuando instalas un Windows XP SP1 desde el CD/DVD con la conexión a Internet activa: en un promedio de 20 minutos, sin aplicar parches, estás contagiado.
Si instalas Mac OS X 10.4 Tiger, aunque se trate de 10.4.0 sin parchear, Bluetooth está desactivado por defecto; si lo activases, y en tu oficina hubiese un ordenador infectado con el Inqtana.A, aún tendrías que haber activado la recepción automática —mala idea—, o aceptar el archivo entrante…
Es decir, que incluso un Mac no parcheado tiene la posibilidad de parchearse antes de “exponerse al público”… y ni siquiera tienes muchas oportunidades de infectarlo sin parchear.
QUE PORQUERIA AHORA MISMO BAJO UBUNTU A LA M***** MAC!!!
Bgates, Ubuntu no es inmune a troyanos de este estilo. En realidad, ningún sistema operativo es inmune a ningún troyano, no puede serlo, porque si no no tendríamos la capacidad de usar nuestro propio sistema operativo.
