Sistemas Afectados
Todos los usuarios de Macintosh que hayan instalado alguna de las aplicaciones afectadas.
Descripción
Se ha descubierto un virus de tipo espía que es instalado por varias aplicaciaciones gratuitas y salvapantallas descargables de varios sitios web. El virus, OpinionSpy, realiza varias actividades maliciosas, como enviar información confidencial a servidores remotos y abrir una puerta trasera en el ordenador comprometido.
Impacto
- El envío a terceras personas de información confidencial.
- Bajo rendimiento del equipo infectado.
- Ejecución de comandos e instalación de otros códigos maliciosos a través de la puerta trasera.
Solución
- Si utiliza Mac OS X Leopard, y sabe cuándo se produjo la infección, puede usar la característica de ‘Time Machine’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración y se eliminarán todos los archivos que haya creado o descargado desde la fecha de la copia). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar la guía de MAC sobre TimeMachine.
- En caso de que no pueda volver a un punto anterior de TimeMachine o no le funcione, siga estos pasos para la eliminación del virus:
- Con un antivirus actualizado, localice todas las copias del virus en el ordenador. Si no dispone de antivirus, deberá adquirir un producto adecuado para OS X.
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. - Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus.
- Con un antivirus actualizado, localice todas las copias del virus en el ordenador. Si no dispone de antivirus, deberá adquirir un producto adecuado para OS X.
- Se recomienda cambiar las contraseñas de acceso del sistema y de los servicios a los que haya accedido durante el tiempo que el ordenador ha estado comprometido, ya que esta información ha podido ser recopilada y enviada a terceros.
Detalle
El código malicioso es descargado e instalado durante el proceso de instalación de aplicaciones y salvapantallas distribuidos desde witios web como MacUpdate, VersionTracker y Softpedia. Como el código malicioso no se encuentra empaquetado con estas aplicaciones, sino que es descargado durante el proceso de instalación, los antivirus no mostrarán un aviso al descargarlas. Las aplicaciones afectados son, entre otras, las siguientes:
- Varios salvapantallas descargables desde http://7art-s[OCULTO].com
- La aplicación «MishInc FLV To Mp3» descargable desde http://www.[OCULTO].info/mac_flv_to_mp3.php
Algunos de estos programas, que descargan el virus, informan de que los usuarios deben aceptar la instalación de un programa de análisis de mercado llamado PremierOpinion. Pero este programa, que ha existido para sistemas Windows desde el año 2008, no sólo recopila información del navegador o del perfil de usuario como dice, sino que también realiza las siguientes actividades maliciosas:
- Abre una puerta trasera HTTP en el puerto 8254.
- Accede a todos los volúmenes accesibles, incluidos los de red, para analizar ficheros consumiento mucho tiempo de CPU. También, analiza el tráfico de la red local.
- Inyecta código y recopila información de Safari, Firefox e iChat.
- Envía regularmente la información recopilada, de forma encriptada, a servidores remotos a través del puerto 80 y 443. Puede incluir contraseñas, números de tarjetas de crédito, historial del navegador, etc.
- Puede actualizarse automáticamente y, ocasionalmente, mostrar formularios solicitando información al usuario.
- En algunos casos, afecta a la ejecución del ordenador comprometido haciendo necesario su reinicio.
- Se ejecuta como root, ya que solicita la contraseña de root al instalarse, por lo que tiene completo acceso a los ficheros y recursos del ordenador comprometido. Y, aunque se desinstale la aplicación o salvapantallas que lo instaló, el código malicioso permanece.
- Si se detiene su ejecución, es ejecutado de nuevo a través de launchd.