Lista de malware para Mac OS X
Publicado el 17 Febrero 2006 por juandesant*Actualización*: acaban de anunciar otra prueba de concepto, Inqtana.A, así que lo añado a la lista, aunque aún no salga en la lista de Sophos.
*Actualización*: Añadida una frase para comentar cómo evitar el arranque automático que permite la ejecución de alguno de estos pájaros.
Después de la reciente noticia de un troyano para Mac OS X capaz de transmitirse por iChat a través de Bonjour, he decidido repasar la lista de malware —software malicioso— disponible para Mac OS X… y “Sophos nos da”:http://www.sophos.com/virusinfo/analyses/search-results/?search=mac+os+x&action=search los siguientes especímenes:
* “OSX/Leap-A, alias Oompa/Loompa, alias latestpics.tgz”:http://www.sophos.com/virusinfo/analyses/osxleapa.html
* “SH/Renepo-A”:http://www.sophos.com/virusinfo/analyses/shrenepoa.html
* “Mac/Cowhand-A”:http://www.sophos.com/virusinfo/analyses/maccowhanda.html
* “Mac/Amphimix-A, alias MP3Concept, alias MP3Virus.Gen”:http://www.sophos.com/virusinfo/analyses/macamphimixa.html
* “Inqtana.A”:http://www.entremaqueros.com/bitacoras/memoria/?p=402
Una de las cosas que llama la atención a primera vista es que no existen variantes: al parecer, no se ha utilizado de nuevo ninguna de las lógicas malvadas, una vez que no han llegado a tener difusión. [En realidad, otros sitios de información sobre malware para Mac OS X hablan de un Renepo-B]
Otra cosa es que, pese a que a SH/Renepo y a OSX/Leap se les clasifica como gusanos, realmente son troyanos: así que *TODOS* los ejemplos de malware *necesitan* la acción del usuario. No se puede producir infección automática en ningún caso.
Amphimix es una aplicación, con icono de MP3, y que contenía un MP3 que sonaba después de ejecutar el MP3 y que en pantalla se mostrase un mensaje indicando que el MP3, en realidad, era una aplicación. No tengo nada claro qué quiere decir se trata de una aplicación que a su vez es un MP3 bien formado, porque más bien parece que se trate de una aplicación que contiene un MP3 bien formado. Apple resolvió el tema obligando a que todas las aplicaciones muestren la extensión .app en Tiger…
Cowhand es una aplicación que instala un panel de preferencias, y que abre puertos en el Mac para utilizarlo como relay de conexión a Internet, de modo que las actividades de quien se conecte a nuestra máquina parezcan tener origen en ella. El usuario tiene que ejecutar la aplicación para que se instale el panel de preferencias.
Renepo es un script Unix, que una vez que se ejecuta se copia al directorio /System/Library/StartupItems, para ejecutarse en cada arranque, y luego se copia a cualquier unidad —local o remota— que se conecte al sistema infectado. La infección de nuevos sistemas sólo se realiza cuando un usuario ejecuta el script que se ha copiado, y *además se proporciona la contraseña de administrador*. Además, cambia los permisos de la carpeta /System/Library/StartupItems, de modo que otros programas que se quieran instalar en esa carpeta no necesiten autenticación de administrador.
Y de “OSX/Leap ya hemos hablado”:http://www.entremaqueros.com/bitacoras/memoria/?p=216 ;-) (De Inqtana.A también).
Así que el mensaje es: sólo existen dos programas (Renepo, OSX/Leap) que se copien por sí mismos de unos sistemas a otros, y *ninguno de ellos es capaz de ejecutarse en destino* por sí mismo… Y sólo dos (Renepo, Cowhand) realizan actividades que puedan tener efectos secundarios en el equipo, debido a compromisos de seguridad. Ah, y en todos los casos, arrancar en modo a prueba de fallos, y después manteniendo mayúsculas durante el arranque de nuestra sesión para que no se ejecuten programas automáticamente, impide que estos programas se activen.
Lo más importante, aparte de quizá empezar a utilizar un antivirus gratuito como ClamXav, es estar alerta a los intentos de ingeniería social… y desconfiar de los archivos no esperados.
El problema es que ClamVax solo detecta … pero no limpia.
Que asco andar de nuevo en esta dinámica. Se habrán acabado ya los buenos tiempos?.
Hola, XiMac… De todas formas, por ahora nos basta con detectar… para limpiar, hay que conocer el virus concreto…
Aún así, es mejor tener este bajo nivel de actividad de lógicas malévolas, pero no debemos de descuidarnos, porque ese mismo descuido podemos pagarlo caro si nos encontramos en otra plataforma.
Ya me ha dado tiempo a leer esto, con los tochos que he escrito en faq-mac ando sin dedos casi -:). También es poco de lío porque escribes algo y luego hay 5 respuestas :D y se mezcla todo (es también la grandeza del site)
Aquí y con mas calma solo comentar que ahora habrá muchos iluminados que empiecen con mensajes fatalistas sobre “los virus y Mac”, interesada o desinteresadamente pero hay que decir que es impensable una desinfección tan limpia en un sistema Windows y que este virus es una “anécdota” (puñetera) para lo que podría llegar a ser que tiene que servir para que nadie se relaje y pensar que no hay sistema invulnerable por mucho que la marca, sistema o plataforma nos genere confianza o “hasta ahora” no haya pasado nada.
Pasan muchas cosas todos los días que ni siquiera vemos cerca de nuestro sistema y hemos de estar preparados por si algún día en lugar de “rozarnos” nos dan de pleno.
Un saludo y voy a incluir este link en la info que he puesto en mi blog -:)
[...] Se ha detectado un virus que afecta a equipos Mac OS X Tiger y que no es nada complicado de detectar y eliminar, dado que se oculta tras un JPG hay que tener especial cuidado en no hacer click sobre él. Se reenvia a través de la lista de contactos del iChat y llega un archivo que se llama “latestpics.tgz”. Puede afectar al funcionamiento normal del sistema operativo pero no es muy dañino. Toda la información (muy buena por cierto) de como actua, infecta o se elimina en este artículo de Faq-mac. y también en este texto de memoria de acceso aleatorio. [...]
Lista de malware para Mac OS X
A raíz de la aparición del troyano/gusano latestpics.tgz, alias OSX/Leap-A, alias Oompa/Loompa, Juan de Dios Santander ha hecho una lista de malware para Mac OS X. Afortunadamente la lista sólo tiene cuatro miembros, y ninguno de ellos es capaz de…
[...] « Lista de malware para Mac OS X | Principal | [...]
Tonterías. No uso antivirus en el XP que tengo al lado (y que principalmente uso para recordar lo malo que es Windows y para descargar cosas de Internet via Limewire) para usarlo en OS X.
En http://www.macworld.com/news/2006/02/17/leapafollow/index.php , en inglés, hay una completa descripción de lo que hace y no hace el interfecto.
Saludos Javier
¡Gracias, Javier! Actualizo el “artículo sobre OSX/LeapA”:http://www.entremaqueros.com/bitacoras/memoria/?p=216 para reflejar lo más importante de lo que señala Macworld.
[...] pps. Macworld ha sacado (gracias, Javier) un artículo en el que se ha preparado un par de Macs para ver cómo quedan afectados por el malware Leap-A. Lo más importante es lo siguiente: [...]
Yo simple mento digo que las computadoras de apple =Mac pueden ser hakeadas como la pc pero el problema es que a la gente no le inporta Mac por que no la saven usar y por lo tanto como la mac es el 6% de computadoras en el mundo ala gente no le interesa hacer virus para Mac y aun si hicieran virus no podrian pasar (fire wire).
Yo siempre dire que el que quiera hakearse una mac con una pc es suicida por que es muy facil bajar virus para PC y en una MAC es muy facil mandarlos =soy Arturo Ortiz de Mexico y tengo 13 años
Arturo, la diferencia es que no pueden ser hackeadas _como_ un PC con WIndows. De hecho, un PC con Linux tampoco se puede hackear _como_ otro con Windows. Las técnicas tienen que ser distintas, porque las vulnerabilidades también lo son.
De hecho, por ahora, la única forma de introducir un virus en Mac OS X es incluirlo dentro de una aplicación troyana. Cierto, existen vulnerabilidades en Mac OS X que pueden hacer que un programa se caiga, pero ninguna de esas vulnerabilidades admite ejecución remota de código… porque tanto los PowerPC como los Intel Core incluyen hardware para impedir la ejecución de zonas de memoria (páginas) que no estén marcadas como páginas de código —y eso es lo que ocurre con esos ataques—.
