Proyectos, Noticias, Experiencias, pruebas...

Nuevos Virus – 21/10/11 – OSX

Flashback.C

Troyano para la plataforma Mac OS X, que simula ser un instalador de Flash y se conecta a servidores de Internet para descargar otro malware y ficheros de configuración.

Detalles técnicos

Infección/Efectos

Cuando Flashback.C se ejecuta, realiza las siguientes acciones:

Método de infección

Cuando se ejecuta el instalador nos muestra la pantalla siguientes:

Para instalarse, es necesario que el usuario introduzca la contraseña de administrador.

Durante la instalación, el instalador comprueba si está/Library/Little Snitch/lsden el equipo. Este programa es un firewall para Mac OS X, en caso de encontrarlo, no se ejecutan el resto de tareas y se auto-elimina del sistema.

Si logra instalarse, se conecta a:

  • http://[eliminado].43.31/counter/[eliminado]

Envía una cadena codificada que contiene los campos:

  • %Hardware_UUID%
  • %machine_architecture%
  • %kernel_version%
  • %encoded_md5% (%hardware_UUID%Jiangxi)

Los ficheros de instalación y configuración que se descagan del servidor de Internet están cifrado mediante RC4 usando como contraseña el hash MD5 del UUID del Hardware del equipo. El contenidos tiene la siguiente estructura:

  • %encoded_payload_filename%
  • %encoded_payload_content%

El instalador descarga copias en los siguientes sitios:

  • /Applications/Safari.app/Contents/Resources/%payload_filename%
  • /Applications/Firefox.app/Contents/Resources/%payload_filename%

También añade una variable de entorno (DYLD_INSERT_LIBRARIES) a los navegadores como punto de lanzamiento, mediante la inserción de una entrada LSEnvironment en el fichero Info.plist correspondiente a cada
navegador.

Contramedidas

Prevención

Ante este tipo de propagación de malware, el mejor consejo es que siempre se debe descargar el software de sitios de confianza, y si es posible de las páginas de los desarrolladores.

Desinfección

Escanear el sistema y localizar los ficheros:

  • /Applications/Safari.app/Contents/Resources/%payload_filename%
  • /Applications/Firefox.app/Contents/Resources/%payload_filename%

Estos ficheros hay que eliminarlos.

También hay que buscar los ficheros:

  • /Applications/Safari.app/Contents/Info.plist
  • /Applications/Firefox.app/Contents/Info.plist

Y buscar y eliminar dentro de ellos la cadena:

  • LSEnvironmentDYLD_INSERT_LIBRARIES%path_of_detected_file_from_step_1%

No se han encontrado comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

    Translate to:

Categorías