troyano

OSX/Jahlav-C es el nombre de un nuevo troyano que se acaba de descubrir camuflado como un códec de vídeo por el equipo de ParetoLogic. Por lo que se ha visto, el troyano está asociado a una web llamada PornTube y pedía permiso al usuario para instalarse como un códec de vídeo.

Si el usuario acepta la instalación de ese falso códec de vídeo (cuyo nombre es “AdobeFlash”) se crea un script el el directorio /Librería/Internet Plug-Ins, que se ejecuta periódicamente y contiene, dentro del script, otro script realizado en Perl que se comunica con una web de terceros descargando datos maliciosos.

Según la fuente, otros archivos susceptibles a este troyano son HDTVPlayerv3.5.dmg, VideoCodec.dmg, FlashPlayer.dmg, MacTubePlayer.dmg, macvideo.dmg, License.v.3.413.dmg, play-video.dmg y QuickTime.dmg. Desde Applesfera recomendamos que si os aparece una solicitud para aceptar e instalar cualquiera de estos archivos, no lo hagáis para evitar disgustos en el futuro.

Vía | MacNN
Imagen | ancientvine

Hace escasos días os informábamos de la existencia de una red botnet de macs “zombies”, o lo que es lo mismo: Alquien está usando los macs de algunos usuarios para efectuar ataques ilegales sin que ellos se den cuenta.

Para saber si tú formas parte de esta red sin darte cuenta y eliminar el troyano en el caso de que estés infectado, existen una serie de comandos del terminal. Lo primero que tenemos que hacer es ejecutar el siguiente comando de terminal (os pedirá la contraseña de administrador) para comprobar si estamos infectados o no:

sudo ps aux | grep -i iworkserv | grep -v "grep"

Si la ejecución de este comando no os devuelve absolutamente nada, ya podéis respirar tranquilos y dejar de leer este artículo. Si os devuelve algún resultado, probablemente estéis infectados. Ejecutad los comandos que se listan en la entrada extendida.

Leer más

Ya hubo algunos problemas referidos a la seguridad en los ordenadores de Apple a raíz de unas versiones pirateadas de Adobe Photoshop CS4 y de iWork’09. Pero parece ser que ahora, a raíz de esas versiones, se ha descubierto que algunos ordenadores podrían haberse convertido involuntariamente en zombies componentes de una botnet.

¿Qué significa esto? Significa que en el caso de que tu mac sea un zombie, algún hacker podría usarlo para realizar ataques de denegación de servicio (DDoS). Esto es usual en ordenadores con Windows sin protección, pero es la primera vez que sucede en el entorno de los mac.

Como el ataque DDoS usando macs zombies se detectó en enero, y los antivirus ya son capaces de eliminar los troyanos responsables de implicar el ordenador en un ataque hacker. De todas formas, recomendamos que reviséis vuestros ordenadores en el caso de que hayáis instalado esas versiones pirateadas de iWork o Photoshop.

Vía | Ars Technica
Imagen | Flickr de charliekwalker

Si la semana pasada nos toco dar malas noticias sobre un troyano distribuido en copias ilegales de iWork 09 esta semana nos toca de nuevo volver a dar malas noticias. En este caso el afectado es un parche ilegal para Photoshop CS4.

Este parche en lugar de realizar su tarea, completamente ilegal por otra parte, crea una puerta de acceso a nuestro ordenador para hacer un uso incontrolado del mismo sin nuestro permiso. Para ello se sirve lógicamente de la creación de una cuenta de root por lo que necesita de nuestra contraseña para instalarse.

Además de avisar desde Applesfera os recomendamos otros programas como Pixelmator, muy potente versátil y con un precio más que accesible accesible para la mayoría de usuarios. Por último un apunte sobre los troyanos para la gente que no conozca muy bien que son y como funcionan.

Un troyano no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un “troyano” sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo.

Vía | Faq-mac
Más información Troyanos | Wikipedia
En Applesfera | Pixelmator: ¿Un nuevo “Photoshop” para Mac?

Nuestro lector Raul Siles nos comenta, a través de nuestro formulario de contacto, acerca de un troyano que se está distribuyendo junto a las copias de iWork 09 en las redes bittorrent.

El archivo que contiene el software malicioso es iWorkServices.pkg. Mediante el cual se instala iWorkservices dentro de la carpeta Startupitems, haciendo que se ejecute nada más arrancar nuestro equipo. Este elemento obtiene permisos de ejecución, lectura y escritura o lo que es lo mismo: control total.

Para terminar de rizar el rizo se conecta mediante internet a un servidor que notifica de su presencia para que algún indeseable pueda hacer de las suyas.

Leer más

Recientemente se ha descubierto una vulnerabilidad en Mac OS X Leopard, que permite que un intruso pueda ejecutar scripts con privilegios de root desde otro ordenador en la red local. Dicho de otro modo, alguien que esté en la misma red de ordenadores podría llegar a tomar el control de tu ordenador sin dificultades, pudiendo capturar una foto con la iSight o capturando una imagen de tu escritorio.

Sin embargo el problema se agrava, ya que aprovechando variantes de un Troyano llamado AppleScript-THT el intruso podría ser no sólo de la red local, sino de cualquier sitio con conexión. Hasta que Apple no resuelva el problema con una actualización, aconsejan abrir el terminal y escribir el siguiente comando:

Pulsando Intro después de escribir este comando, podemos verificar si todo ha ido bien escribiendo este otro comando:

Si al pulsar Intro no nos aparece la palabra “root”, ya estamos protegidos contra la vulnerabilidad. De momento, esperemos que Apple reaccione rápido ante la importancia de este fallo y publique una actualización de seguridad lo más pronto posible.

Vía | The Apple Blog
Imagen | Flickr de The Trojan Project