Nuevos Virus – 30/10/11

Tsunami

Troyano para la plataforma Mac OS X que puede ser utilizado para realizar ataques distribuidos de denegación de servicio.

Detalles técnicos

• Nombre completo del virus: Trojan.MAC/Tsunami@Otros
• Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
• Plataformas afectadas: MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
• Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del sistema
• Alias:
  • OSX/Tsunami-A (Sophos)
  • Backdoor:OSX/Tsunami.A (F-Secure)

Infección/Efectos

Cuando Tsunami se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas

1. Modifica el fichero
   • «/System/Library/LaunchDaemons/com.apple.logind.plist»
2. Crea el siguiente fichero es una copia de sí mismo
   • «/usr/sbin/logind»

Otros detalles

Su función principal es realizar ataques distribuídos de denegación de servicio (DDoS). Además, permite descargar archivos en el ordenador comprometido y ejecutar comandos.

Se comunica con el servidor de comando y control a través del protocolo IRC. En la siguiente pantalla se puede observar una muestra de los comandos que puede recibir el troyano:

Nota: imagen cortesía de Sophos.

Algunos de los servidores IRC a los que se conecta el troyano son:

• pingu.anonops.li:6667 por el canal #tarapia.
• x.lisp.su:6667 por el canal #harbour.

El código fuente de este troyano es una adaptación a la plataforma Mac OS X de uno existente, desde el año 2002, en la plataforma Linux.

Puede encontrar más información en las siguientes páginas web:

• New Mac OS X malware with DDoS functionality spotted in the wild
• Tsunami backdoor for Mac OS X discovered
• More Mac malware – new Tsunami backdoor variants discovered
• ‘Tsunami’ trojan malware bot ported to OS X
• Linux Tsunami hits OS X
• Updates on OSX/Tsunami.A, a Mac OS X Trojan

Contramedidas

Desinfección

Si se cree que se está infectado, porque se han detectado conexiones a servidores por el puerto 6667 mediante un cortafuegos, se pueden seguir los siguientes pasos para desinstalarlo:

Abrir el fichero /System/Library/LaunchDaemons/com.apple.logind.plist y, si el equipo ha sido efectivamente infectado por este troyano, tendrá el siguiente contenido:

Si ha sido modificado por el troyano, modificar el fichero para que contenga el siguiente texto:

• Nota: imágenes cortesía de CNet.
• Eliminar el fichero /usr/sbin/logind.