Clicky

Descubierto un nuevo troyano en Mac

OS/X Crisis se disfraza como un juego, protector de pantalla o un archivo de música

troyano macLa empresa de seguridad de Mac, Intego, ha descubierto un nuevo troyano en Mac OS X, el OS/X Crisis. El malware se instala sin intervención del usuario y se esconde también si se ha instalado como root, pero aún no se ha descubierto en las computadoras de los usuarios de Mac.

La amenaza está sólo en dos versiones de Mac OS X: Snow Leopard y Lion.

Intego describe a OS/X Crisis como un troyano-dropper, que es una clase de malware que se disfraza como un juego, protector de pantalla o un archivo de música. Se instala sin que el usuario ni siquiera sea consciente y luego trata de cubrir sus huellas y ocultar su existencia.

"Hace un gran esfuerzo para ocultarse, lo que no es muy común en los troyanos para Mac", dijo Lysa Myers, una investigadora de seguridad de Intego. "es mucho más común en los troyanos de Windows".

La mayoría de los archivos creados por el troyano son nombrados al azar con el fin de evitar la fácil detección y eliminación, pero una serie de nombres aparecen constantemente, y los usuarios pueden buscar por ellos para comprobar si están infectados.

Si el troyano se instala en un Mac en la raíz o en el modo administrador, estos archivos estarán presentes en el sistema:

/System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server

/System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/

/Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

Si eres un poco menos precavido, sin embargo, y no ejecutas el sistema como root o administrador, estará presente sólo este archivo:

/Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

Una vez instalado, OS/X Crisis "llama a su casa" a la dirección IP 176.58.100.37 cada cinco minutos, presumiblemente a la espera de instrucciones. Esa dirección IP puede cambiar con el tiempo, ya que los autores de malware se basan a menudo en características resistentes a simples bloqueos.

Te puedes hacer una pregunta: Si el troyano no está en las computadoras, ¿cómo lo ha encontrado Intego?

Myers de Intego dice que, como investigadores de seguridad, el personal de Intego pasa mucho tiempo en los rincones oscuros y desagradables de la web. Además, los creadores de malware suelen cargar sus "mercancías" en los foros y sitios de seguridad para comprobar si su software es detectable por el software de seguridad.

Jesus_Caceres