Flashback.C
Troyano para la plataforma Mac OS X, que simula ser un instalador de Flash y se conecta a servidores de Internet para descargar otro malware y ficheros de configuración.
Detalles técnicos
- Nombre completo del virus:
Trojan.MAC/Flashback.C@Otros - Tipo de código:
Trojan
Caballo de Troya: programa que parece
beneficioso o útil pero resulta ser malicioso en algún momento. No se
propaga por si mismo.
-
Plataformas afectadas:
MAC
Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Alias:
Infección/Efectos
Cuando Flashback.C se ejecuta, realiza las siguientes acciones:
Método de infección
Cuando se ejecuta el instalador nos muestra la pantalla siguientes:
Para instalarse, es necesario que el usuario introduzca la contraseña de administrador.
Durante la instalación, el instalador comprueba si está/Library/Little Snitch/lsden el equipo. Este programa es un firewall para Mac OS X, en caso de encontrarlo, no se ejecutan el resto de tareas y se auto-elimina del sistema.
Si logra instalarse, se conecta a:
- http://[eliminado].43.31/counter/[eliminado]
Envía una cadena codificada que contiene los campos:
- %Hardware_UUID%
- %machine_architecture%
- %kernel_version%
- %encoded_md5% (%hardware_UUID%Jiangxi)
Los ficheros de instalación y configuración que se descagan del servidor de Internet están cifrado mediante RC4 usando como contraseña el hash MD5 del UUID del Hardware del equipo. El contenidos tiene la siguiente estructura:
- %encoded_payload_filename%
- %encoded_payload_content%
El instalador descarga copias en los siguientes sitios:
- /Applications/Safari.app/Contents/Resources/%payload_filename%
- /Applications/Firefox.app/Contents/Resources/%payload_filename%
También añade una variable de entorno (DYLD_INSERT_LIBRARIES) a los navegadores como punto de lanzamiento, mediante la inserción de una entrada LSEnvironment en el fichero Info.plist correspondiente a cada
navegador.
Contramedidas
Prevención
Ante este tipo de propagación de malware, el mejor consejo es que siempre se debe descargar el software de sitios de confianza, y si es posible de las páginas de los desarrolladores.
Desinfección
Escanear el sistema y localizar los ficheros:
- /Applications/Safari.app/Contents/Resources/%payload_filename%
- /Applications/Firefox.app/Contents/Resources/%payload_filename%
Estos ficheros hay que eliminarlos.
También hay que buscar los ficheros:
- /Applications/Safari.app/Contents/Info.plist
- /Applications/Firefox.app/Contents/Info.plist
Y buscar y eliminar dentro de ellos la cadena:
- LSEnvironmentDYLD_INSERT_LIBRARIES%path_of_detected_file_from_step_1%