Malware que atacó Macintosh

Muchas veces se dice que los usuarios que no tienen instalado Windows en su equipo tienen menos preocupaciones en cuanto a las amenazas de los virus. En realidad, ningún sistema operativo puede asegurar inmunidad o una protección antivirus total, ni el hecho de usar PC o Mac puede cambiar el hecho de tener que estar protegido contra malware o cualquier programa malicioso. Realmente los virus informáticos son pequeños archivos, generalmente sólo buscan explotar alguna vulnerabilidad conocida.

Se estima que se han desarrollado un cifra de aproximadamente 300 000 amenazas que explotaban vulnerabilidades del sistema operativo Windows. Este tipo de virus, una vez que han infectado archivos, si estos ficheros son compartidos, pueden ir perjudicando a usuarios, tengan o no Windows, si no están protegidos. Frente a la cifra mencionada anteriormente, se estima que se han desarrollado unos 40 virus especificamente creados para atacar o manipular el sistema de Mac OS X, un número de amenazas muy inferior. Tal vez de ahi, la creencia de que al pasarte de una pc con Windows a un Mac, te puedes olvidar de los virus, cosa que nunca es asi. Un buen software antivirus, que además ofrezca una protección antispyware con defensas durante la navegación en internet, es algo que siempre es necesario en cualquier equipo.

Estos son algunos de los virus o amenazas que fueron creados para atacar Mac OS x:

• Amphimix también conocido como MP3Concept.A, MP3Virus.Gen, descubierto el 9 de abril del 2004. Es la prueba de un tipo de virus troyano, que contení­a un archivo mp3 con una aplicación para reproductor, un archivo que aparentaba ser una canción en mp3. Si se ejecutaba la aplicación, aparecía una ventana de diálogo preguntando: “Yep, this is an application. So what is your iTunes playing right now?” y entonces se iniciaba el audio de la voz de un hombre riendose a carcajadas.
• Hovdy.A también conocido como AplS.aprilt.A, descubierto el 20 de junio del 2008, Hovdy.A es un virus troyano que explotaba una vulnerabilidad en el agente de escritorio remoto de Apple que permitía al software realizar comandos con acceso root.

  El troyano intenta instalar un determinado número de archivos en Mac desde varios lugares además de modificar la secuencia de acceso para seguir ejecutándose indefinidamente salvo que se le detenga. Desciende la propia seguridad del sistema manipulando el firewall y creando varios accesos remotos y hacer cambios en la red, finalmente trata de recopilar información a nivel local y la envia al atacante.

• DNSChanger también conocido OSX.RSPlug.A, descubierto el 31 de octubre 2007. Es otro virus troyano que se hacia pasar por un codec que permitía a los usuarios acceder a videos para adultos. El troyano modificaba las DNS en el ordenador atacado para redirigir al usuario a peligrosos sitios web que a su vez pueden instalar programas maliciosos.

  Al parecer, también enviaba el tipo de CPU de Mac, la identificación del usuario UID y el hostname a la siguiente dirección: http://85.255.121.37

• Fromr.A también conocido como AS.MW2004, MacOS.MW2004.Trojan, descubierto el 14 de mayo de 2004. Esta amenaza es un troyano Applescript aparentando ser un instalador de Microsoft Word 2004 que intentaba borrar el directorio raiz del usuario y todos sus contenidos. Aparecía como una modificación del icono de instalación de Microsoft.

  Nota: Si el usuario estaba logeado con permisos de root entonces se borraba el directorio raiz y todos los archivos y directorios contenidos, por el contrario, si el usuario no estaba logeado en root entonces saltaba un error de permiso denegado aunque posiblemente se borraban archivos y directorios dentro del directorio raiz.

• Leap.A, descubierto el 18 de febrero de 2006. Leap.A es un virus gusano que actuaba via iChat enviando un archivo llamado “latestpics.gz” a todo el listado de contactos del usuario afectado.

  Una vez que el archivo ha sido enviado y la imagen JPEG ha sido clickeada para abrirla, el virus se escribe directamente en el disco. Instala un archivo llamado “apphook.bundle” en el directorio InputManagers del usuario o siguiendo la ruta /Library/InputManagers si se está logeado con permiso root. Apphook.bundle intentará enviar el archivo latestpics.gz a cualquier contacto que tengamos.

  El virus tiene además la capacidad de usar Spotlight para buscar las aplicaciones recientemente usadas para infectarlas con una copia del virus. Irónicamente, debido a un error en el virus, la infección causa también la corrupción de la aplicación que no puede ser ejecutada de nuevo.

  En Intel Macs el troyano infectaba archivos pero no se enviaba via iChat.

• InqTana, descubierto el 18 de febrero de 2006. InqTana fue un virus gusano que atacaba una vulnerabilidad de la tecnologia bluetooth de Apple.

  Los usuarios tenían que aceptar la transferencia de archivos, en total 3 ficheros para recibir el gusano que infectaría el equipo. Tras esto, explotando la vulnerabilidad del sistema bluetooth, el virus atraviesa la estructura de directorios y no se copia siguiendo la ruta normal sino en un directorio diferente. De este modo el virus queda activo en el equipo para cuando se vuelva a iniciar Mac, una vez encendido de nuevo, busca dispositivos bluetooth para seguir explotando.

  Nota: El gusano utilizaba una demo de una version comercial de software Bluetooth para hacer uso de una particular libreria pero siendo de tiempo limitado, no se replicaba.

  Esta vulnerabilidad fue corregida por Apple Security Update 2005-006

• OSX.iWorkServices.A también conocido como OSX.Iwork, OSX.iWorkS-A y OSX.Trojan.iServices.A, descubierto el 22 de enero de 2009. Se trata de un troyano que aparece como fichero comprimido con copias piratas de Apple’s iWork 09 en sitios web de BitTorrent. El archivo BitTorrent tiene un tamaño aproximado de 450Mb y cuando se descarga tiene una carpeta llamada iWork.09, con un fichero comprimido, iWork09.zip, y un archivo de texto con un número clave, serial.txt.

  El fichero zip contiene una copia válida de iWork 09 al igual que el virus troyano. Si se ejecuta el instalador del iWork 09 entonces se instala la copia buscada pero también el virus.

  El instalador de iWorksServices se encuentra dentro del fichero de contenidos e instala el virus Trojan siguiendo la ruta /usr/bin/iWorkServices con archivos correspondientes en /System/Library/StartupItems/iWorkServices. El virus trata de conectar con un servidor remoto en internet durante la instalación permitiendo la descarga de malware. Los archivos contenidos en StartupItems aseguran que el troyano se ejecutará cada vez que se reinicie Mac. Para eliminarlo una vez que se ha instalado en Mac, la ruta donde hay que buscarlo es: /usr/bin buscando ‘iWorkServices’ y ‘iworkservices’, terminando los procesos. Los directorios /System/Library/StartupItems/iWorkServices y /Library/Receipts/iWorkServices.pkg deben ser eliminados.

• OSX.iServices.B también conocido como OSX.iWorkS-B, descubierto el 26 de enero de 2009. Se trata de otro virus troyano contenido en un archivo comprimido que aparenta ser una copia pirata de Adobe PhotoShop CS4 que se podí­a localizar en sitios web de BitTorrent.

  El archivo comprimido zip contiene una versión comercial de Adobe PhotoShop CS4 al igual que una aplicación ejecutable que aparenta ser el medio para crackear la protección del número de clave o serial del software. Si se ejecuta el crack, se instala el virus en Mac. El troyano se copia a /usr/bin/DivX y a /private/var/tmp pero con un nombre de archivo variable, aleatorio pero del tipo tmp.0.ORbnHw. Archivos asociados se copian también a /System/Library/StartupItems/DivX para asegurar la ejecución del virus cada vez que se inicia el equipo. El virus trata de conectarse a un servidor remoto en internet, freehostia.com:1024, para avisar de su activación y descargar malware. No es la primera vez que los individuos que se dedican a realizar estos ataques informáticos, utilizan hosting gratuito para alojarse, entre otros, freehostia. Hay que borrar el troyano desde la ruta /usr/bin y en el directorio /private/var/tmp, eliminando también el proceso y reiniciando Mac. La carpeta /System/Library/StartupItems/Divx debe ser borrada también.

• OSX.Jahlev.A también conocido como RSPlug.D, descubierto el 23 de noviembre de 2008. Este tipo de virus troyano viene en el mismo grupo que RSPlug.A/ DNSChanger. Se puede encontrar en sitios para adultos donde aparenta ser una actualización necesaria para arreglar errores en Active X que permitan ver los videos online. Si el usuario ve esta alerta la manera de salir de esa secuencia de diálogo es cerrar el navegador evitando que se descargue el troyano al equipo. El virus se descarga en Mac como un archivo de extensión dmg, como una imagen de disco que lanza un instalador en el escritorio llamado “install.pkg”. Cuando se hace doble click para abrir el instalador aparece una ventana de instalación con el nombre “MacAccess”. La diferencia con RSPlug.A es que incluye bastantes scripts para conectar con servidores remotos, enviando información del equipo como la versión del sistema operativo, la dirección IP, el tipo de procesador y descarga malware al Mac del usuario.
• OSX.Jahlav.B también conocido como RSPlug.E, descubierto el 2 de diciembre de 2008. Se trata de una variante del virus OSX.Jahlav.A/RSPLug.D pero realmente cambia el nombre ya que el funcionamiento es el mismo que se describe más arriba en el artículo, un virus que se descarga fingiendo ser un parche para unos errores de Active X que permitan ver videos online para adultos.
• OSX.Lamzev.A también conocido Troj/RKOSX-A y OSX.TrojanKit/Malez, descubierto el 17 de noviembre 2008. Si el virus se ejecuta, copia un archivo llamado ezmal en /Applications. Una aplicación de host se copia en la ruta /Application//Contents/MacOS/2 y seguidamente crea un archivo en /Application//Contents/MacOS/1 que instala y ejecuta un backdoor. Un archivo llamado com.apple.Docksettings se copia en ~/Library/LaunchAgents para asegurar que el backdoor se activa cada vez que se inicia Mac.
• OSX.RSPlug.F también conocido como OSX.RSPlug.G, descubierto el 20 de marzo de 2009. Este virus es una variante de DNSChanger/RSPlug que modifica las opciones establecidas para redes, cambiando las DNS de la configuración del servidor y causando una redirección hacia sitios web peligrosos que pueden descargar malware mientras el usuario accede y navega en internet. Este troyano ha sido posteado en varios sitios web como un instalador para Avid Express Pro, aunque el título real que aparece en la aplicación del instalador es MacCinema.

  Cuando se ejecuta el instalador, el troyano se instala con un cronjob o tarea programada, para asegurar que el virus se ejecuta con un intervalos programados. Las DNS modificadas, tienen habitualmente entradas asociadas con la dirección 85.255.112