hispamp3

Ha empezado a correr por la red y algunos importantes medios impresos la noticia de que se ha encontrado el primer virus del Mac OS X.

(faq-mac) Sin embargo, ni es un virus, ni es la primera vez que los usuarios de Mac se enfrentan a este tipo de amenaza.

Su nombre es Leap-A o Oompa-A y se trata en realidad de un gusano que se difunde usando el iChat, autoreenviándose entre los contactos como un archivo llamado latestpics.tgz que, al abrirse, se enmascara usando el icono de un gráfico JPG y utilizando el texto Oompa como un marcador de infección en las horquillas de recursos de los programas infectados vía un Input manager que se instala en la carpeta del usuario y usa las búsquedas de spotlight para infectar tantas aplicaciones Cocoa como pueda.

Este virus solo usa Mac OS X Tiger, no infectando otros sistemas anteriores.

Según Sophos, la compañía que ha detectado este gusano, la creciente popularidad de los Mac puede ser la causa de este inusual ataque.

El malware (o programa dañino) viene enmascardo bajo un troyano en el que se supone hay pantallazos de la nueva versión del sistema operativo Mac OS X y no resulta especialmente dañino para el ordenador (no borra, ni renombra archivos) aunque por un bug en su diseño, las aplicaciones infectadas dejan de funcionar.

Es facil identificar que el archivo, aunque lleve un icono de JPG (o de otro tipo de archivo) al pedir la info indique que es un “Unix Executable file” (ver imagen adjunta)

Una vez instalado, se intenta reenviar a todos lo contactos de iChat a través de transferencia de archivos y luego infecta las aplicaciones. El toyano solo funciona con cuentas con capacida de administración (o el root) en mac OS X. las cuentas de usuarios “normales” no están afectadas.
Tanto los antivirus de Sophos, como los de Norton y de Intego ya contemplan esta amenaza y son capaces de eliminarla.

¿Cómo saber si estoy infectado?
Abre tu Librería (la del usuario), y luego una carpeta llamada INputManager y busca una carpeta llamada apphook. Si la tienes, estás infectado. Denotar que futuras versiones del virus pueden cambiar el nombre de esta carpeta. Hay ciertas aplicaciones que instalan esta carpeta de forma legítima como SafariStand, Sogudi, o Chax, aunque el virus borra la carpeta legítima e instla la suya.

Como eliminar el virus manualmente
Elimina apphook de InputManager manualmente. Posteriormente usa el finder para ir a una carpeta en concreto (mayusculas+comando+G) y ves a la carpeta /tmp. Allí elimina el archivo latestpics.tgz.

Como evitarlo
No admita archivos de personas desconocidas o archivos que usted no ha solicitado. Desconfíe de los archivos con un nombre en inglés y pide información del archivo (comando + I) antes de abrir un archivo sospechoso.

Hay gente que ha preferido cambiar el propietario de la carpeta InputManager para evitar que se instale alli nada sin solicitarlo, aunque eso puede afectar a otros instaladores que puedan introducir archivos legítimos en la misma.

Los comandos para terminar para proteger esta carpeta son:

mkdir ~/Library/InputManagers
(para llegar a la carpeta InputManager)

sudo chown root:admin ~/Library/InputManagers
(para protegerla. Al introducir este comando el terminal pedirá la contraseña).

sudo chown tu_usuario:tu_usuario ~/Library/InputManagers
(para devolver a la carpeta su estado original y propiedad del usuario y no de admin).

El script, al cambiar el propietario de esta carpeta, falla al intentar instalarse y no continua con la instalación.

Otra manera de evitarlo es no usar iChat (los usuarios de otros programas de mensajería instantánea como Adium son inmunes a la infección), aunque es posible que en futuras versiones del troyano pueda distribuirse por correo electrónico.

Apple ha categorizado esta amenaza como de bajo riesgo, puesto que requiere una acción del usuario para infectar una máquina.

Más información detallada en Ambrosia.
Fuente: The Inquirer y Mac Daily news

Enlace: Artículo en faq-mac.

Twitea esta noticia