Cnet acaba de destapar hace unos momentos un nuevo troyano, es decir un nuevo intruso que intenta colarse en nuestros Macs con el fin de extraernos información sensible. Quizás os acordaréis de MacDefender y toda la lucha que hubo contra este software malicioso hace unos meses. Pues bien, el troyano de hoy tiene un funcionamiento diferente y por eso conviene estar alertados sobre su existencia, aunque su impacto de momento parece mínimo.
El nuevo método funciona en realidad en dos pasos diferenciados, por un lado utilizando un trojan dropper y después una puerta trasera o backdoor. La primera herramienta es un instalador, un archivo que contiene en su interior otros archivos perjudiciales. Una vez esté en nuestro ordenador descargará y abrirá constantemente un archivo PDF en lenguaje chino llamado trojan.pdf. Obviamente su intención al realizar esta acción es la de distraer al usuario, que intentará cerrar o examinar el documento abierto mientras la instalación realmente maliciosa se lleva a cabo: lo que sería la segunda parte del método, un elemento backdoor (o de puerta trasera). Como curiosidad, al parecer el documento de texto es un escrito con mensaje político y lenguaje desagradable, y el servidor desde donde se recibe tanto el PDF como el backdoor responde a una URL con dominio ruso.
Una vez que el backdoor esté en nuestro Mac habilitará constantemente su gestión remota desde un servidor externo. A partir de ahí se quedará a la espera de recibir instrucciones en toda ocasión, pues se ejecutará de nuevo cada vez que reiniciemos el equipo. Las investigaciones llevadas a cabo por las empresas F-Secure y Sophos revelan que las intenciones son las de transmitir el contenido de determinados archivos locales así como registrar y enviar capturas de pantalla de lo que esté sucediendo en el Mac.
Sin embargo, las consecuencias actuales de tener este software en nuestro equipo no parecen ser graves. Tras comprobar que el sistema de comunicación con el servidor remoto funciona mal y que el propio equipo Apache que hace de servidor está en fase de pruebas, es lógico concluir que los individuos que estén tras este método todavía están experimentando con él para pulirlo.
A pesar de ello, no está de más asegurarnos de no tener estos archivos alojados en nuestro Mac y vamos a explicar cómo asegurarnos de que no estén y de eliminarlos en caso de comprobar su presencia. Empezando por la prevención, como siempre recomendamos entrar en páginas de confianza y cuidar mucho de leer y descargar correos de origen dudoso. Una vez dicho esto, la forma de detectar la presencia del troyano es a través del Monitor de Actividad.
Si lo abrimos y detectamos un proceso que se llama checkvir entonces hemos sido objetivo del troyano, detengámoslo mediante el botón rojo con símbolo de señal de Stop (Pare). Tras esto debemos abrir la carpeta Librería desde el Finder, para ello nos colocamos en el menú superior del Finder y presionamos en la tecla Opción mientras pulsamos en el submenú Ir. De este modo conseguiremos ver la Librería entre las opciones del submenú (si tu sistema operativo no es Lion no será necesario pulsar la tecla Opción pues tu sistema no oculta la carpeta Librería).
Dentro de la Librería buscamos la carpeta LaunchAgents que alberga las herramientas que se ejecutan al comenzar cualquier sesión del sistema. Si investigamos bien encontraremos dos archivos checkvir y checkfir.plist, que deberemos eliminar por completo de nuestra computadora. Esperamos que esta pequeña guía final os sea de ayuda. Estaremos informando sobre las nuevas formas que pueda adquirir el presente software malicioso.
Imagen: Security Vibes