21 junio, 2013

Repaso de la Historia del Malware en Apple I Virus OSXLeap-A

Hola a tod@s

En los próximos días publicaremos una serie de artículos con un breve repaso de la historia del Malware en Apple, siendo hoy el turno de Virus OSXLeap-A.

Hoy en día no existe ningún ordenador inmune a los virus, con lo cual, tampoco lo son los ordenadores Apple aunque bien es cierto que la empresa de la manzana ha estado a lo largo de su historia con un número menor de plagas que la competencia.

La historia de los virus y la seguridad informática es interesante y dinámica, como se pudo ver en Seguridad Apple con la series de artículos sobre el malware en Apple con virus como, Viernes 13 o Elk Cloner entre otros. Hoy es turno de recordar a OSX/Leap-A gusano, también conocido como OSX.Oomp que fue descubierto por en el año 2006.

OSX/Leap-A es un gusano se propaga a través de las listas de contacto de iChat, compartiendo el archivo latestpics.tgz y camuflándose como un archivo de imagen.
Su método de funcionamiento consiste en que una vez descomprimido, la víctima que recibió el malware sólo vera un archivo de imagen, sin embargo es una aplicación con código maligno que una vez ejecutada realizará las siguientes tareas:

  • El malware creará una copia de el mismo en /tmp, (en la lista de contactos de iChat), preparado para ser transmitido posteriormente.
  • Creará una carpeta llamada “apphook” en /Library/InputManagers, con lo cual comenzará a infectar aplicaciones Cocoa.
  • La aplicación infectada enviará el “latestpics.tgz” a los usuarios por iChat, el archivo debe ejecutarse de forma manual ya que el archivo maligno no se ejecuta de forma automática. 

 
Imagen 2: Fichero latestpics

  • El malware utilizará Spotlight para buscar las cuatro aplicaciones más utilizadas recientemente para también infectarlas.
Nota: Leap-A sólo funcionaría en sistemas que ejecuten Tiger, debido a su uso de Spotlight.

Para saber si el sistema está infectado por este virus se realiza las siguientes acciones:
1.     Abrir la carpeta de usuario de la biblioteca.
2.    A continuación la carpeta InputManagers.
3.   Una vez allí buscar la carpeta llamada “apphook”. Si se encuentra, lamentablemente el ordenador está infectado.

Para poder eliminar el virus basta con ir a la carpeta llamada “apphook y buscar y borrar el archivo con nombre latestpics.tgz. 

No seáis malos.

1 comentarios:

  1. Os informo que ha dado comienzo la III Edicción de Premios "AMOR SEVILLISTA".
    Al igual que en años anteriores, espero tu participación.

    Saludos.

    ResponderEliminar