RSS virus

Se acabó lo que se daba… Aquella máxima que muchos utilizábamos de “en los mac no existen los virus” parece que ha dejado de ser cierta. En realidad nunca lo fue propiamente dicha, más bien esa frase debería estar matizada con que los ordenadores Mac no tenían la cuota suficiente de usuarios como para llamar la atención de los “Hackers”. En los últimos años y tal como hemos podido ver por los informes de resultados de la compañía, la cuota de ordenadores Mac en el mundo ha ido aumentando a un ritmo reseñable. Evidentemente, este troyano no es algo tan agresivo como aquel “gusano” que apareció en Windows XP hace una década y que mantuvo en jaque a medio mundo con sus ordenadores reiniciándose solos, pero toquemos madera.

Apple declara, desde las páginas de soporte de la compañía, que está desarrollando una herramienta específica para detectar y eliminar este software, por lo que todo apunta a que en los próximos días tendremos una actualización de sistema que nos incluya esta aplicación y evite futuras infecciones. Aunque este troyano solo se encargaba de recopilar información de nuestros ordenadores para ser enviada a través de Internet después, desde hace algo más de una semana ya existe un parche de Apple para tapar la vulnerabilidad de Java que provocaba la entrada de este troyano.

Tal como os comentaba mi compañero Fernando, este parche evitaba que este troyano nos entrara en el sistema si no lo había hecho ya, por lo que esta herramienta que promete Apple dará carpetazo a este problema que nos estaba copando estos últimos días. Esperemos que todo esto solamente sea un problema puntual y no se convierta en un habitual a partir de ahora. Aunque OS X esté basado en Unix y sea un sistema robusto, en realidad no existe el SO perfecto, por lo que este tipo de vulnerabilidades seguirán apareciendo a la espera de ser explotadas.

En Applesfera | Flashback, un troyano que afecta a 600.000 Mac en todo el mundo Cómo saber si estamos infectados por Flashback y cómo eliminarlo
En Apple | Comunicado de desarrollo de herramienta para Flashback

Ayer comentábamos en esta entrada que Flashback, un troyano que se aprovechaba de una vulnerabilidad de Java, había infectado muchísimos ordenadores (600.000) Mac. Para evitar que pudiera producirse dicho problema había salido un parche de seguridad para Java que también comentamos ayer. En los comentarios escribí más información acerca de cómo saber si nuestro Mac estaba afectado por Flashback y cómo solucionarlo, pero creo que es mejor aclararlo en una entrada adicional. También al final de la entrada veremos qué es lo que hace Flashback y qué pasos sigue.

Tras el salto vemos qué pasos hay que dar tanto para su detección como para eliminar el dichoso troyano, así como su funcionamiento.

Vamos con una información que ha publicado mi compañero F.Manuel en GenBeta. Según un informe de la empresa rusa de antivirus Dr. Web, el troyano Flashback ha afectado a unos 550.000 equipos Mac en todo el mundo, de los cuales el 57% corresponderían a Estados Unidos, 20% a Canadá y el 12% al Reino Unido, aunque una última estimación elevaría la cifra a 600.000 ordenadores. El troyano en cuestión, designado con el nombre BackDoor.Flashback.39, roba información a través del navegador gracias a una vulnerabilidad de Java 1.6.0_29, y afecta a equipos con Mac OS X. La presencia del troyano se detectó en septiembre de 2011, enmascarado en un falso instalador de Flash Player. Al parecer la vulnerabilidad era conocida desde hace algunos meses pero no ha sido hasta hoy cuando se ha publicado para su descarga el parche contra dicho fallo.

Una SERP de Google de marzo ha detectado la existencia de al menos cuatro millones de páginas web comprometidas y algunos usuarios han informado de la infección tras visitar dlink.com. Lo preocupante del tema en mi caso es que hace bien poquito estuve buscando información de ese fabricante para instalar un par de PLC en casa, así que voy a descargar ahora mismo el parche de seguridad. El mismo está disponible desde la página de soporte de Apple o directamente desde este enlace para Leopard o para Lion.

Vía | GenBeta
Más información | Dr. Web
Imagen | Tama Leaver | Adrian

Muchos verán la aparición de este Malware que ha aparecido recientemente como un punto de inflexión para los ordenadores de la marca de la manzana. Una de las máximas de los usuarios de Apple, los Macs no tienen virus, parecía haber llegado a su fin. Apple pareció reaccionar con relativa celeridad lanzando una actualización, pero ocho horas después parece que los creadores de este virus han conseguido saltarse a la torera la respuesta de Apple.

En realidad no considero que sea un asunto como para echarse las manos a la cabeza, ya que en realidad es necesario que el usuario se descargue el Malware y le dé permisos de administrador, por lo que a no ser que sufras un despiste supino, este virus poco tiene que hacer en tu Mac. Recordemos que dicho virus se descarga bajo el falso pretexto de que es un antivirus y pide permiso para escanear el sistema en busca de software que pueda perjudicar a tu ordenador, entonces encuentra un archivo infectado y solicita un número de cuenta bancaria donde realizar el cargo por la desinfección del mismo.

Resulta curioso que en poco menos de ocho horas sus creadores hayan conseguido saltarse la actualización del sistema, pero la opción incluida con esta actualización en las preferencias de seguridad es probable que haga que Apple consiga atajar el problema de una manera más rápida. Aún así nunca está de más recordar una máxima que todo poseedor de un ordenador debe recordar siempre. Nunca darle de comer después de medianoche… perdón… Nunca instalar nada en nuestro ordenador del cual no tengamos una seguridad completa de lo que se trata realmente.

Vía | MacRumors
En Applesfera | Apple lanza la prometida actualización de seguridad para acabar de una vez con el malware MacDefender

Como sabéis, desde hace cosa de un mes hay un nuevo malware para Mac OS X dando guerra consistente en un falso antivirus llamado MacDefender (aunque también se presenta en ocasiones como MacProtector o MacSecurity) que podemos descargar desde algunas páginas webs maliciosas donde nos intentan meter el miedo en el cuerpo alertándonos de que nuestro Mac ha sido infectado con un virus.

El objetivo final de este malware es conseguir los datos de nuestra tarjeta de crédito y aunque no supone una amenaza demasiado seria para cualquiera con dos dedos de frente, todo el mundo tiene un día malo así que, precisamente para evitar que nos la puedan colar, Apple ha informado que lanzará una actualización de Mac OS X que permitirá al sistema detectar y eliminar automáticamente MacDefender y todas sus variantes conocidas protegiéndonos también de su descarga mediante una alerta.

Mi compañero Miguel López ya realizó una completa guía acerca de este malware y cómo eliminarlo manualmente si ya habéis sido infectados y no tenéis ganas de esperar al lanzamiento de Mac OS X 10.6.8 (cuya build 10K524 fue enviada a los desarrolladores el pasado viernes) ya sabéis qué hacer.

Más información | Apple Support
En Applesfera | Un nuevo Malware para Mac OS X llamado MacDefender aparece entre los usuarios: cómo localizarlo y eliminarlo

Una de las principales ventajas con las cuales Apple promociona Mac OS X es la de que este sistema operativo carece de todos los virus que invaden la plataforma Windows. Esto no significa que en Mac OS X no tengamos problemas de seguridad, y con la llegada del BlackHole Remote Access Trojan se evidencia una vez más que en Apple también pueden sufrir el ataque de código con muy malas intenciones a medida que el porcentaje de usuarios de la plataforma es mayor.

Es por eso (al menos en parte) que la compañía de Cupertino ha decidido mejorar la seguridad de sus sistemas. Por un lado, invitando a varios expertos en seguridad a que prueben Mac OS X Lion y den su feedback acerca de si la seguridad del sistema ha dado un paso adelante o no. Por otro lado Apple ha contratado a un experto que se encargará “de la seguridad a lo largo de toda la compañía”. Parece que se ponen en serio.

Y según la fuente, es necesario: hay algunos problemas de seguridad de iOS, cuyos datos más comprometedores están protegidas por una clave de encriptación de 256 bits que a su vez está protegida por un simple número de cuatro cifras: el PIN del usuario. Se deja bastante obvio que es necesario mejorar la seguridad para seguir promocionando iOS y Mac OS X como lo más seguro que existe, y por lo visto en Apple se han decidido a no dormirse en los laureles y hacer los deberes.

Vía | Macworld
Imagen | squacco

SecureMac ha descubierto un nuevo troyano que afecta a Mac OS X incluso en su versión más reciente (según los primeros informes) y que se está distribuyendo a través de correos electrónicos y redes sociales como Facebook haciéndose pasar por un vídeo enlazado desde un mensaje con el título “Is this you in this video?”.

Cuando un usuario pulsa sobre el enlace, el troyano se ejecuta mediante un applet de Java que descarga otros archivos al ordenador, incluyendo un instalador que se lanza automáticamente preguntándonos nuestra contraseña. Si se la proporcionamos, modifica ciertos archivos del sistema para saltarse su protección y permitir el acceso a ellos desde el exterior sin necesidad de que volvamos a introducir nuestra contraseña de administrador en ningún momento.

El troyano se ejecuta en segundo plano de forma invisible cada vez que arrancamos el equipo para enviar información sobre el sistema infectado y propagarse mediante el envio de mensajes de spam a través de la cuenta de correo del usuario. El componente java mediante el que funciona es multiplataforma afectando por igual tanto a Windows como a Linux o Mac OS X y parece ser una variación de una amenaza originaria del sistema de Microsoft.

Se veía venir. Tras la aparición del primer gusano para el iPhone, poco más que una broma inofensiva que sustituía la imagen de fondo del iPhone por una del cantante de pop Rick Astley, ahora la empresa de seguridad Intego alerta del descubrimiento de una nueva "cepa" mucho más peligrosa.

El nuevo gusano ha aparecido en Nueva Zelanda y afecta específicamente a los usuarios que utilicen el iPhone para conectarse por Internet al banco ING Direct, redirigiendo a los infectados a una página que suplanta al portal del banco holandés con la intención de robar sus datos de acceso. Por si esto fuera poco, el gusano también roba información personal del teléfono y la envía a un servidor en Lituania al tiempo que modifica la contraseña por defecto de "alpine" a "ohshit".

Recordad que los tres gusanos descubiertos hasta la fecha solo afectan a los iPhones jailbrokeados con el paquete de SSH instalado y que incluso en este caso, evitarlos es tan sencillo como cambiar la contraseña SSH por defecto del terminal siguiendo los pasos que ya describimos con anterioridad. Ya sabéis, tened cuidado y utilizad protección.

Vía | MacRumors (¡Gracias a todos por el aviso!)

La compañía de seguridad Intego ha publicado en su blog esta curiosa captura de Mac OS X 10.6 Snow Leopard en la que vemos claramente como el sistema nos alerta de la presencia de un troyano, concretamente de RSplug, en un archivo que acabamos de descargar con Safari.

Desconocemos como funciona pero parece evidente que la nueva versión del sistema operativo de Apple realiza una búsqueda de las contadas muestras de malware existentes en Mac OS X cuando descargamos o tratamos de montar una imagen de disco. Bienvenido sea, junto a cualquier otro esfuerzo por evitar que el software dañino llegue a campar algún día en nuestros equipos.

Actualización: Según nuevos datos, el nuevo sistema anti malware tan solo detecta dos troyanos: OSX.RSPlug y OSX.Iservice, cuyas definiciones se encuentran en el archivo /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist. No hay nada que impida a Apple actualizar este archivo en futuras versiones incorporando nuevas definiciones pero en cualquier caso no se trata de un antivirus en el sentido tradicional de la palabra, tan solo de un filtro más a la hora de garantizar nuestra seguridad cuando descargamos una imagen de disco desde Internet.

Vía | TUAW

En el pasado os hemos hablado en varias ocasiones de Cocktail, una aplicación que viene a ser una interfaz gráfica para un buen número de funciones de Unix con las que mantener en perfectas condiciones al leopardo: configuración, reparación, limpieza...

Ahora, la nueva versión 4.3 incluye la habilidad de eliminar archivos potencialmente dañinos para el sistema, incluyendo algunos de los troyanos más comunes: Services.A, iServices.B, RSPlug.A, Jahlav.A, Leap.A, Astht.A, Astht.B o PokerStealer. Junto a esto, Cocktail también cuenta con la habilidad de eliminar los registros de CrashReporter y HungReporter al tiempo que resuelve un problema de compatibilidad existente entre la versión anterior y QuickTime 7.6.

La licencia para un usuario de Cocktail 4.3 (Leopard Edition) tiene un precio de 14,95 dólares (poco más de 11 euros), siendo gratuita para aquellos que ya poseáis una licencia de la 4. También es posible descargarla y probar su trial, plenamente funcional las primeras diez veces que la ejecutemos.

Vía | Macworld Sitio oficial | Cocktail