Apple Weblog Perú

Blog sobre el MundoMac º Carlos Hidalgo Tolentino

Desde la LSPM: Troyano de alto riesgo para Mac OS X

Posted by Carlos Hidalgo Tolentino en noviembre 1, 2007

Considero esta entrada tan importante que voy a irla escribiendo poco a poco. Retiraré este primer párrafo cuando esté terminada

Hace unos minutos en la LSPM he visto un mensaje de Luis Barreiro acerca de un troyano para Mac OS X de alto riesgo y de gran difusión. En ese mensaje se hacía referencia a una entrada titulada Crimeware comes to Mac OS X en la bitácora McAffee Avert Blogs, en la que se explica el funcionamiento de este código dañino.

Pantallazo del artículo Crimeware comes to Mac OS X

Funcionamiento

Al parecer, se trata de un troyano que utiliza dos partes: la primera, una película pornográfica que alega la necesidad de utilizar un codec no instalado para su correcta visualización; y la segunda, el instalador del codec propiamente dicho, que en realidad no instala más que el malware correspondiente. Ese instalador, cuyo nombre en código parece ser Puper o MacCodec, al parecer, existía únicamente para Windows, y ahora los servidores son capaces de detectar un navegador Mac y servir una imagen de disco .dmg en lugar de un ejecutable .exe para Windows.

Si el usuario no ha desactivado (como debería hacer) la opción Preferencias > General > Abrir archivos seguros… de Safari, la imagen de disco se monta y el instalador del malware se pone en marcha en cuanto hayamos verificado que, pese a contener una aplicación, queremos abrir el archivo. En cualquier caso, si hemos creído que la imagen de disco contiene un software útil —un codec nuevo, en este caso_—, el usuario hará doble clic sobre la imagen de disco, y posteriormente sobre el instalador.

Puesto que dicho instalador nos pide la contraseña de administrador, a partir de ese momento se puede instalar cualquier cosa en el sistema. ¿Qué es lo que instala MacCodec? Al parecer, instala un programa que sustituye las direcciones de los servidores DNS —los encargados de transformar http://www.google.es en 64.233.183.104, auténtica dirección que utilizan los ordenadores—, de modo que si uno teclea http://www.banesto.es, por ejemplo, puede acabar en un sitio falso, distinto del original, sin haber hecho clic en un enlace falso, lo que hace mucho más difícil de detectar los intentos de phising, o fraude bancario por internet.

Impacto

No se dispone de información sobre el número de equipos infectados, pero Avert Labs informa de que existen docenas de páginas web que sirven la imagen de disco que contiene MacCodec. Así mismo, el instalador y el programa no contienen fallos aparentes, de modo que funciona a la perfección, especialmente porque la infraestructura de servidores DNS trucados depende más de dichos servidores, de modo que, en principio, un usuario no debería poder advertir a primera vista que su ordenador ha sido modificado para utilizar DNS diferentes.

No hay información acerca de si resulta posible leer en el panel Red de Preferencias de Sistema los nuevos DNS, lo que ayudaría a la alarma.

Prevención

La mejor prevención consiste en la desconfianza. A no ser que se compruebe la existencia y utilidad de un programa por medio de otros canales, uno no debería instalar cualquier programa que se ofrezca por ahí.

(Via: Memoria de Acceso Aleatorio)

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: