Sí hay quinto malo: Inqtana.A
Publicado el 17 Febrero 2006 por juandesantPues nada, sí hay quinto malo: el quinto elemento para la lista de malware para Mac OS X que acababa de presentar, Inqtana.A (descrito por F-Secure).
Inqtana.A está escrito en Java, y es similar a OSX/Leap-A en que se envía de unos ordenadores a otros, pero en lugar de hacerlo mediante Bonjour, lo hace mediante Bluetooth, de modo que sólo puede atacar —en principio— a ordenadores Mac OS X que acepten peticiones OBEX push —un modo de transferencia Bluetooth—.
En este caso sí se aprovecha una vulnerabilidad (CAN-2005-1333), ya parcheada por Apple con la actualización Mac OS X 10.4.1, aunque la vulnerabilidad es de sólo lectura. De nuevo, *es necesario que el usuario admita la recepción de los archivos* —salvo que se haya escogido la opción Aceptar archivos sin avisar; por defecto, la opción es Preguntar para cada archivo—, pero en caso de que los haya aceptado, y debido a la vulnerabilidad —que sólo afecta a Mac OS X 10.4.0—, el gusano se ejecutará en el siguiente arranque.
Parece que los programadores de esta prueba de concepto, que lo único que hace es copiarse a sí misma, además le han añadido un contador que hace que deje de funcionar pasado el 24 de Febrero de este año… Así que, por ahora, se trata más de intentar encontrar —y cerrar— vectores de propagación, que de hacer daño.
Moralejas:
* No debemos permitir que nadie entre en nuestro ordenador sin permiso —es decir, no debemos permitir ningún servicio automático sin contraseña
* Debemos aplicar las actualizaciones de seguridad; esto es tanto más importante cuanto más conectados estemos
* Más vale no presumir de seguridad (algo que, después de todo, Apple nunca ha hecho oficialmente), aunque estemos razonablemente mucho más seguros.
Vía “The Register”:http://www.theregister.co.uk/2006/02/17/macosx_bluetooth_worm/
ps. Más detalles: el gusano, debido a la vulnerabilidad mencionada, es capaz de grabar los siguientes archivos en la carpeta /Users:
/Users/w0rm-support.tgz
/Users/InqTest.class
/Users/com.openbundle.plist
/Users/com.pwned.plist
/Users/libavetanaBT.jnilib
/Users/javax
/Users/de
También graba los siguientes archivos en la Library del usuario:
/Users/[user name]/Library/LaunchAgents/com.pwned.plist
/Users/[user name]/Library/LaunchAgents/com.openbundle.plist
La carpeta LaunchAgents contiene listas de elementos que el launchd —daemon que unifica los servicios de lanzamiento y programación de tareas en Mac OS X 10.4.x; se puede ver como especie de sustituto de cron—, así que durante en el arranque launchd consultaría com.openbundle.plist, para descomprimir los archivos, mientras que com.pwned.plist ejecutaría el componente principal del gusano.
La verdad es que este Inqtana.A es el más -jodido- fastidiado, porque si se dan las siguientes hipótesis, *sí que se produce una infección sin participación del usuario*:
* No haber actualizado Tiger a 10.4.1 o posterior
* Haber activado la recepción de archivos mediante Bluetooth
* Haber cambiado el comportamiento para que no se avise cuando se recibe un archivo
[...] « Troyano Mac OS X: latestpics.tgz | Principal | Sí hay quinto malo: Inqtana.A » [...]
Lista de malware para Mac OS X
A raíz de la aparición del troyano/gusano latestpics.tgz, alias OSX/Leap-A, alias Oompa/Loompa, Juan de Dios Santander ha hecho una lista de malware para Mac OS X. Afortunadamente la lista sólo tiene cuatro miembros, y ninguno de ellos es capaz de…
