Fecha de publicación: 26/01/2009
Sistemas afectados
* Mac OS X
Descripción
Se está distribuyendo una "copia pirata" del software iWork2009 a través de redes de intercambio de archivos P2P, la cual ha sido infectada con el troyano iWorkServ
Actualizado 29/01/2009: Se han descubierto nuevas versiones del troyano, en las copias ilegales de programas como Adobe Photoshop CS4.
Solución
Estas infecciones se pueden minimizar utilizando software legítimo de fabricantes y distribuidores de confianza. Por el contrario si el software que se utiliza tiene procedencia "dudosa" se corre el riesgo de instalar además del software deseado, alguno otro programa malicioso.
Si ya se está infectado, seguir los pasos que nos indica INTECO-CERT en el apartado de desinfección del virus.
Detalle
Han introducido en las redes P2P una copia ilegal del programa iWorks2009, con un virus dentro. Este virus es capaz de robar información, como contraseñas, cuentas bancarias, números de tarjetas de crédito… y es capaz de enviarla por Internet.
Se han difundido, según algunas fuentes, en torno a 20.000 copias del archivo infectado, lo que ha provocado una infección considerable en los sistemas MAC, esto implica que NINGÚN SISTEMA OPERATIVO ESTA LIBRE DE ATAQUES.
Este tipo de virus que funcionan de esta forma se denominan troyanos, y algunos de ellos forman redes de “Zombies” o “botnets”, que son usadas para mandar correo masivo (Spam), robar datos o atacar a otros ordenadores.
Este virus ha puesto de manifiesto el riesgo de seguridad de utilizar software pirata descargado de las redes de intercambio P2P. El software procedente de redes P2P puede contener un virus de este tipo, y es el propio usuario el que infecta su ordenador al instalarlo. Esta forma de infección no necesita aprovecharse de errores en el sistema operativo, navegador u otros programas, sino que es el propio usuario el que provoca la infección a través de la descarga de software de procedencia dudosa.
REFERENCIAS:
* Hispasec (open a new window)
* Segur-info (open a new window)
* CA (open a new window)
* Sophos (open a new window)
* Symantec (open a new window)
* Trend Micro (open a new window)
* Intego (open a new window)
iWorkServ: Troyano para MAC OSX que abre una puerta trasera y hace al equipo comprometido actuar como un servidor P2P.
# Peligrosidad: 1 - Mínima
Nombre completo del virus: Backdoor.MAC/iWorkServ@Otros
# Tipo de código: Backdoor Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
#
Plataformas afectadas: MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
# Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
# Tamaño (bytes): 413.568
# Alias:
* OSX_KROWI.A (Trend Micro)
* OSX/iWorkS-A (Sophos)
* OSX/IWService (McAfee)
* OSX.Iservice (Symantec)
* Backdoor:OSX/iWorkServ.A (F-Secure)
* OSX/Krowi.A (Computer Associates)
* OSX.Trojan.iServices.A (Intego)
Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
iWork es un conjunto de aplicaciones de productividad creado por Apple Inc. La versión de prueba legítima puede ser descargada de:
* http://www.apple.com/iwork/download-trial/
Sin embargo, hay copias no legítima de iWork2009 en sitios de compartición de ficheros. Algunas de estas copias ilegítimas contienen un troyano malicioso con funcionalidades de P2P.
Infección/Efectos
Cuando iWorkServ se ejecuta, realiza las siguientes acciones:
El troyano usa un fichero llamado iWorkServices que es parte del paquete instalador. Este fichero es el que es detectado por F-Secure como iWorkServ.A .
El fichero se instala en:
* /System/Library/StartupItems/iWorkServices
...y lo hace con permisos de lectura, escritura y ejecución.
Al ejecutarse, el troyano, comprueba si se esta ejecutando como Administrador usando las funciones de la API "_geteuid" y "_getpwuid" y luego comprobando si la salida es "root".
Si no dispone de estos permisos, simplemente finaliza su ejecución.
En cambio, si se esta ejecutando como root, el siguiente paso es comprobar si el fichero de ejecución tiene el nombre "iWorkServices". Si no es asi, el troyano borrará el fichero "/tmp/.iWorkServices".
A continuación el troyano crea los siguientes ficheros:
* /System/Library/StartupItems/iWorkServices/iWorkServices
* /System/Library/StartupItems/iWorkServices/StartupParameters.plist
* /usr/bin/iWorkServices
Los ficheros con nombre iWorkServices son copias de sí mismo.
El fichero "StartupParameters.plist" tiene los siguientes contenidos:
{ Description = "iWorkServices";
Provides = ("iWorkServices");
Requires = ("Network");
OrderPreference = "None"; }
Efectos
El troyano puede intentar conectarse con las siguientes IPs:
* 69.92.177.146:59201
* qwfojzlk.freehostia.com:1024
Una vez instalado y en ejecución , un atacante remoto podría descargar y/o ejecutar ficheros usando los siguientes comandos P2P:
* banadd
* banclear
* clear
* get
* httpget
* httpgeted
* leafs
* nodes
* p2pihist
* p2pihistsize
* p2plock
* p2pmode
* p2ppeer
* p2ppeerport
* p2ppeertype
* p2pport
* p2punlock
* platform
* rand
* rshell
* script
* sendlogs
* set
* shell
* sleep
* socks
* system
* uid
* unknowns
* uptime
Contramedidas
Desinfección
*
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su MAC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos .
Elimine los siguientes ficheros o directorios:
o /System/Library/StartupItems/iWorkServices/iWorkServices
o /System/Library/StartupItems/iWorkServices/StartupParameters.plist
o /usr/bin/iWorkServices
o /System/Library/StartupItems/iWorkServices
*
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
*
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.
Via Inteco
Sistemas afectados
* Mac OS X
Descripción
Se está distribuyendo una "copia pirata" del software iWork2009 a través de redes de intercambio de archivos P2P, la cual ha sido infectada con el troyano iWorkServ
Actualizado 29/01/2009: Se han descubierto nuevas versiones del troyano, en las copias ilegales de programas como Adobe Photoshop CS4.
Solución
Estas infecciones se pueden minimizar utilizando software legítimo de fabricantes y distribuidores de confianza. Por el contrario si el software que se utiliza tiene procedencia "dudosa" se corre el riesgo de instalar además del software deseado, alguno otro programa malicioso.
Si ya se está infectado, seguir los pasos que nos indica INTECO-CERT en el apartado de desinfección del virus.
Detalle
Han introducido en las redes P2P una copia ilegal del programa iWorks2009, con un virus dentro. Este virus es capaz de robar información, como contraseñas, cuentas bancarias, números de tarjetas de crédito… y es capaz de enviarla por Internet.
Se han difundido, según algunas fuentes, en torno a 20.000 copias del archivo infectado, lo que ha provocado una infección considerable en los sistemas MAC, esto implica que NINGÚN SISTEMA OPERATIVO ESTA LIBRE DE ATAQUES.
Este tipo de virus que funcionan de esta forma se denominan troyanos, y algunos de ellos forman redes de “Zombies” o “botnets”, que son usadas para mandar correo masivo (Spam), robar datos o atacar a otros ordenadores.
Este virus ha puesto de manifiesto el riesgo de seguridad de utilizar software pirata descargado de las redes de intercambio P2P. El software procedente de redes P2P puede contener un virus de este tipo, y es el propio usuario el que infecta su ordenador al instalarlo. Esta forma de infección no necesita aprovecharse de errores en el sistema operativo, navegador u otros programas, sino que es el propio usuario el que provoca la infección a través de la descarga de software de procedencia dudosa.
REFERENCIAS:
* Hispasec (open a new window)
* Segur-info (open a new window)
* CA (open a new window)
* Sophos (open a new window)
* Symantec (open a new window)
* Trend Micro (open a new window)
* Intego (open a new window)
iWorkServ: Troyano para MAC OSX que abre una puerta trasera y hace al equipo comprometido actuar como un servidor P2P.
# Peligrosidad: 1 - Mínima
Nombre completo del virus: Backdoor.MAC/iWorkServ@Otros
# Tipo de código: Backdoor Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
#
Plataformas afectadas: MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
# Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
# Tamaño (bytes): 413.568
# Alias:
* OSX_KROWI.A (Trend Micro)
* OSX/iWorkS-A (Sophos)
* OSX/IWService (McAfee)
* OSX.Iservice (Symantec)
* Backdoor:OSX/iWorkServ.A (F-Secure)
* OSX/Krowi.A (Computer Associates)
* OSX.Trojan.iServices.A (Intego)
Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
iWork es un conjunto de aplicaciones de productividad creado por Apple Inc. La versión de prueba legítima puede ser descargada de:
* http://www.apple.com/iwork/download-trial/
Sin embargo, hay copias no legítima de iWork2009 en sitios de compartición de ficheros. Algunas de estas copias ilegítimas contienen un troyano malicioso con funcionalidades de P2P.
Infección/Efectos
Cuando iWorkServ se ejecuta, realiza las siguientes acciones:
El troyano usa un fichero llamado iWorkServices que es parte del paquete instalador. Este fichero es el que es detectado por F-Secure como iWorkServ.A .
El fichero se instala en:
* /System/Library/StartupItems/iWorkServices
...y lo hace con permisos de lectura, escritura y ejecución.
Al ejecutarse, el troyano, comprueba si se esta ejecutando como Administrador usando las funciones de la API "_geteuid" y "_getpwuid" y luego comprobando si la salida es "root".
Si no dispone de estos permisos, simplemente finaliza su ejecución.
En cambio, si se esta ejecutando como root, el siguiente paso es comprobar si el fichero de ejecución tiene el nombre "iWorkServices". Si no es asi, el troyano borrará el fichero "/tmp/.iWorkServices".
A continuación el troyano crea los siguientes ficheros:
* /System/Library/StartupItems/iWorkServices/iWorkServices
* /System/Library/StartupItems/iWorkServices/StartupParameters.plist
* /usr/bin/iWorkServices
Los ficheros con nombre iWorkServices son copias de sí mismo.
El fichero "StartupParameters.plist" tiene los siguientes contenidos:
{ Description = "iWorkServices";
Provides = ("iWorkServices");
Requires = ("Network");
OrderPreference = "None"; }
Efectos
El troyano puede intentar conectarse con las siguientes IPs:
* 69.92.177.146:59201
* qwfojzlk.freehostia.com:1024
Una vez instalado y en ejecución , un atacante remoto podría descargar y/o ejecutar ficheros usando los siguientes comandos P2P:
* banadd
* banclear
* clear
* get
* httpget
* httpgeted
* leafs
* nodes
* p2pihist
* p2pihistsize
* p2plock
* p2pmode
* p2ppeer
* p2ppeerport
* p2ppeertype
* p2pport
* p2punlock
* platform
* rand
* rshell
* script
* sendlogs
* set
* shell
* sleep
* socks
* system
* uid
* unknowns
* uptime
Contramedidas
Desinfección
*
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su MAC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos .
Elimine los siguientes ficheros o directorios:
o /System/Library/StartupItems/iWorkServices/iWorkServices
o /System/Library/StartupItems/iWorkServices/StartupParameters.plist
o /usr/bin/iWorkServices
o /System/Library/StartupItems/iWorkServices
*
Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
*
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.
Via Inteco
No hay comentarios.:
Publicar un comentario
Déjanos tu comentario, nos permitirá mejorar.
¿Qué opinas de este tema?
¿Tienes alguna duda o sugerencia?
¿Te parece adecuado y completo este tema?
¿Falta información? ¿Cual?