Proyectos, Noticias, Experiencias, pruebas...

Nuevos Virus – 30/10/11

Tsunami

 

Troyano para la plataforma Mac OS X que puede ser utilizado para realizar ataques distribuidos de denegación de servicio.

 

Detalles técnicos

 

Infección/Efectos

Cuando Tsunami se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas
  1. Modifica el fichero
    • “/System/Library/LaunchDaemons/com.apple.logind.plist”
  2. Crea el siguiente fichero es una copia de sí mismo
    • “/usr/sbin/logind”
Otros detalles

Su función principal es realizar ataques distribuídos de denegación de servicio (DDoS). Además, permite descargar archivos en el ordenador comprometido y ejecutar comandos.

Se comunica con el servidor de comando y control a través del protocolo IRC. En la siguiente pantalla se puede observar una muestra de los comandos que puede recibir el troyano:

Nota: imagen cortesía de Sophos.

Algunos de los servidores IRC a los que se conecta el troyano son:

  • pingu.anonops.li:6667 por el canal #tarapia.
  • x.lisp.su:6667 por el canal #harbour.

El código fuente de este troyano es una adaptación a la plataforma Mac OS X de uno existente, desde el año 2002, en la plataforma Linux.

Puede encontrar más información en las siguientes páginas web:

 

Contramedidas

Desinfección

Si se cree que se está infectado, porque se han detectado conexiones a servidores por el puerto 6667 mediante un cortafuegos, se pueden seguir los siguientes pasos para desinstalarlo:

Abrir el fichero /System/Library/LaunchDaemons/com.apple.logind.plist y, si el equipo ha sido efectivamente infectado por este troyano, tendrá el siguiente contenido:

Si ha sido modificado por el troyano, modificar el fichero para que contenga el siguiente texto:

  • Nota: imágenes cortesía de CNet.
  • Eliminar el fichero /usr/sbin/logind.

No se han encontrado comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

    Translate to:

Categorías