Intego ha descubierto una nueva variante del troyano iServices que la empresa que se habia detectado en las distribuciones del nuevos sitema operativo de Mac que circulaban por bittorrent. Este nuevo troyano, denominado OSX.Trojan.iService.B se encuentra en la versión para Mac de Adobe Photoshop CS4. A diferencia de la versión anterior, el instalador del programa está limpio, pero el troyano se encuentra en un serial-crack necesario para usar la aplicación sin pagar.
Después de descargar el Photoshop, los usuarios ejecutan un crack para poder utilizarlo. Dicho crack contiene una aplicación ejecutable que extrae unos datos que se guardan en /var/tmp, un directorio que no se elimina cuando el equipo es reiniciado. Al ejecutar nuevamente el crack de nuevo, el troyano crea un nuevo ejecutable con un nombre diferente al azar dificultando asi su elminacion.
El crack, una vez ejecutado, pide la contraseña de administrador, con lo que consigue nuevamente privilegios de root. Copia el ejecutable a /usr/bin/Divx y a continuación, crea un “startup item” en /System/Library/StarupItems/Divx. El troyano comprueba si se ha puesto en marcha con privilegios de root y guarda el hash de la contraseña en /var/root/.Divx. Acto seguido, a través de un puerto TCP aleatorio envía repetidas peticiones de conexión a dos direcciones IP diferentes.
Para finalizar, el crack cumple su función y rompe la protección anti-copia de Photoshop, de manera que el usuario pueda utilizarlo y no sospeche nada en absoluto.
Dado que el software malicioso se conecta a un servidor remoto a través de internet, su creador tendrá la capacidad de conectarse con el equipo infectado y podrá realizar varias acciones de forma remota.
Los equipos infectados la semana pasada por la versión anterior de este troyano, fueron utilizados para lanzar un DDoS (Distributes Denial of Service) a diferentes páginas web. La nueva variante del troyano, ya que trabaja de una forma muy similar, probablemente trate de realizar acciones similares.
A pesar de que Intego avisó de la alerta de seguridad con la aparición en escena del primer troyano, y a pesar de la repercusión en muchos blogs y webs de todo el mundo, la empresa advierte de que al menos 1000 personas más descargaron iWork 09 infectándose con el troyano. Intego considera la amenaza como de “riesgo grave“
Via P2P
Publicado en Mac Fecha:Enero 20th, 2009
Sin Comentarios