Tsunami
Troyano para la plataforma Mac OS X que puede ser utilizado para realizar ataques distribuidos de denegación de servicio.
Detalles técnicos
- Nombre completo del virus: Trojan.MAC/Tsunami@Otros
- Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
-
Plataformas afectadas: MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
- Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del sistema
- Alias:
Infección/Efectos
Cuando Tsunami se ejecuta, realiza las siguientes acciones:
Ficheros y carpetas
- Modifica el fichero
- «/System/Library/LaunchDaemons/com.apple.logind.plist»
- Crea el siguiente fichero es una copia de sí mismo
- «/usr/sbin/logind»
Otros detalles
Su función principal es realizar ataques distribuídos de denegación de servicio (DDoS). Además, permite descargar archivos en el ordenador comprometido y ejecutar comandos.
Se comunica con el servidor de comando y control a través del protocolo IRC. En la siguiente pantalla se puede observar una muestra de los comandos que puede recibir el troyano:
Nota: imagen cortesía de Sophos.
Algunos de los servidores IRC a los que se conecta el troyano son:
- pingu.anonops.li:6667 por el canal #tarapia.
- x.lisp.su:6667 por el canal #harbour.
El código fuente de este troyano es una adaptación a la plataforma Mac OS X de uno existente, desde el año 2002, en la plataforma Linux.
Puede encontrar más información en las siguientes páginas web:
- New Mac OS X malware with DDoS functionality spotted in the wild
- Tsunami backdoor for Mac OS X discovered
- More Mac malware – new Tsunami backdoor variants discovered
- ‘Tsunami’ trojan malware bot ported to OS X
- Linux Tsunami hits OS X
- Updates on OSX/Tsunami.A, a Mac OS X Trojan
Contramedidas
Desinfección
Si se cree que se está infectado, porque se han detectado conexiones a servidores por el puerto 6667 mediante un cortafuegos, se pueden seguir los siguientes pasos para desinstalarlo:
Abrir el fichero /System/Library/LaunchDaemons/com.apple.logind.plist y, si el equipo ha sido efectivamente infectado por este troyano, tendrá el siguiente contenido:
Si ha sido modificado por el troyano, modificar el fichero para que contenga el siguiente texto:
- Nota: imágenes cortesía de CNet.
- Eliminar el fichero /usr/sbin/logind.
