Crisis es un Caballo de Troya que abre la puerta a la instalación de un malware mucho más elaborado. El software se instala sin solicitar la contraseña de usuario y sin la intervención del mismo, se protege ante los reinicios del sistema, lo que implica que sigue funcionando hasta que es retirado del ordenador. En función del tipo de cuenta sobre el que se instala, el maleare instala diferentes componentes y aunque está pendiente de comprobar hasta que punto son una amenaza los componentes instalados, el malware exhibe algunas técnicas para evitar su análisis además de una efectiva táctica de ocultación, características poco comunes en el maleare para OS X.
Si el malware llega a instalarse en un ordenador con acceso a superusaurio (roto), descarga un rootkit para hacerse invisible creando hasta 17 archivos y carpetas y 14 si el usuario no es el Root del sistema. Muchos de esos archivos y carpetas reciben nombres aleatorios, pero algunos de ellos mantienen una estructura fija: con acceso o sin acceso Root, estos archivos si mantienen el nombre determinado por el troyano:
/Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r
Con acceso Root, estos archivos siempre están presentes:
/System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server
/System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/
El componente que gestiona la puerta trasera del malware llama cada 5 minutos a un servidor con IP 176.58.100.37 a la espera de instrucciones. Los archivos están creados para dificultar la ingeniería inversa cuando se trata de analizar el malware, una táctica frecuente en el software malicioso para Windows que es poco común en este tipo de software para OS X.
Intego ha anunciado que la última versión de su herramienta antivirus VirusBarrier X6 es capaz de eliminar este software.
Fuente : faq-mac
No hay comentarios:
Publicar un comentario