El 14 de Febrero del 2006 Intego (fabricante del software Antivirus para Mac VirusBarrier), recibió una copia de este troyano , después de que un usuario de Intego lo descubriera en un foro sobre Macintosh.El usuario esperaba que el archivo incluyera imágenes preliminares de un nuevo sistema operativo, pero lo que en realidad hizo fue infectar su sistema.Lo descubrió más tarde, cuando sus contactos de iChat le preguntaron por qué les estaba enviando archivos.
¿Cómo podemos protegernos de este troyano?
Intego VirusBarrier X y VirusBarrier X4 erradican el troyano Oompa-Loompa utilizando las definiciones de virus con fecha 14 de febrero de 2006. Intego trabaja con diligencia para garantizar que VirusBarrier X y VirusBarrier X4 erradicarán igualmente cualquier otro troyano que intente explotar la misma técnica en el futuro.
¿Existe más de una versión de este troyano?
El Centro de Control de Virus de Intego ha podido aislar hasta el momento dos versiones del troyano y continúa supervisando cualquier actividad sospechosa para asegurarse de que no existen otras.
¿Qué aspecto tiene el archivo?
El troyano, que en un principio aparece como un archivo comprimido con el nombre latestpics.tgz, una vez descomprimido aparenta ser un archivo de gráficos.No obstante, si algún hacker alterase la versión actual del troyano, el archivo podría presentarse con otros nombres.
¿Cómo se activa este troyano?
El usuario debe descargar el archivo de una web, recibirlo por correo electrónico como archivo adjunto o recibirlo vía iChat.En este último supuesto, es más probable que no desconfíe de la fuente, aunque el "emisor" en realidad ni siquiera es consciente de que el archivo se está enviando.El usuario debe hacer doble clic en el archivo para descomprimirlo y, a continuación, en el troyano resultante, que aparece camuflado bajo un icono personalizado para aparentar ser un archivo de imagen.
¿Advierte este troyano de su presencia solicitando una contraseña de administrador?
No. El troyano instala un archivo en la carpeta Librería/InputManagers si el usuario no ha iniciado sesión como root (raíz).Si el usuario es root, se instala en la carpeta de sistema de la misma forma, /Librería/InputManagers.
¿Cómo infecta este troyano un sistema Mac OS X?
Cuando un usuario hace doble clic en el archivo gráfico descomprimido, esperando ver una imagen, el código del archivo se ejecuta.El troyano inserta un archivo denominado apphook.bundle en la carpeta InputManagers del usuario (en su carpeta Librería), lo que hace que se replique en todas las demás aplicaciones Cocoa que se abran.Haciendo uso de Spotlight, el troyano busca las cuatro últimas aplicaciones que se han utilizado y las infecta.El Input Manager de apphook.bundle intenta enviar una copia del archivo original, latestpics.tgz, a todas las personas incluidas en la lista de contactos de iChat del usuario.Dado que los usuarios reciben el archivo de amigos o colegas de trabajo, tienden a asumir que es fiable y a hacer doble clic en él para descomprimirlo e intentar verlo.
¿Se trata de un troyano, un virus o un gusano informático?
Es una combinación de todos ellos.En primer lugar, es un troyano:un ejecutable oculto en un documento con la apariencia de un archivo de gráficos.También es un virus, ya que se replica en otros programas del ordenador.Y por último, es también un gusano cuando se autoenvía por iChat a otros usuarios.
¿Ha informado Intego a Apple acerca de este troyano?
Sí, lo hicimos en cuanto lo examinamos y certificamos su peligrosidad.Hemos estado en estrecho contacto con Apple para tomar medidas y garantizar que el troyano pueda controlarse lo antes posible.
¿Este troyano borra archivos?
No, por el momento sólo infecta aplicaciones y se envía a otros usuarios por iChat.Existe la posibilidad, sin embargo, de que otros hackers modifiquen el troyano para que borre archivos.
¿Afecta el troyano a archivos del sistema de Mac OS X?
No, sólo afecta a aplicaciones, al menos en su versión actual.
¿Afecta este troyano a Mac OS 9 o versiones anteriores de Mac OS X?
Sólo afecta a Mac OS X 10.4 (Tiger).
¿Afecta a los nuevos Macintosh con procesadores Intel?
No, afecta únicamente a los Macs con procesadores PowerPC.
¿Cómo puede identificarse este troyano?
El troyano circula actualmente con el nombre latestpics.tgz, aunque es perfectamente posible que se creen otras versiones con nombres de archivo distintos.
