Nueva variante del troyano iServices para Mac
detectada en una versión pirata de Adobe Photoshop CS4
Descubierto: 25 de enero de 2009
Descripción: Intego ha detectado una nueva variante del troyano iServices, que ya descubrió el 22 de enero de 2009. Este nuevo troyano, OSX.Trojan.iServices.B, al igual que la versión anterior, se encuentra presente en software pirata distribuido a través de redes BitTorrent y otros sitios con enlaces a softwa
re ilegal. El troyano OSX.Trojan.iServices.B está empaquetado en copias de Adobe Photoshop CS4 para Mac. El instalador de Photoshop en sí está limpio, pero el troyano se encuentra en una aplicación de crack que registra el programa con un número de serie.
Tras descargar esta versión de Photoshop, los usuarios ejecutan la aplicación de crack para poder utilizar el programa. Esta aplicación extrae un ejecutable de sus datos e instala una puerta trasera en /var/tmp/, un directorio que no se elimina al reiniciar el equipo. (Si el usuario vuelve a ejecutar la aplicación de crack, el troyano crea un nuevo ejecutable con otro nombre; estos nombres aleatorios dificultan la eliminación segura del software malintencionado.)
A continuación, la aplicación de crack solicita una contraseña de administrador, abriendo la puerta trasera con privilegios de root. Se copia el ejecutable en /usr/bin/DivX y se crea un elemento de arranque en /System/Librería/ StartupItems/DivX. El programa comprueba si se ha ejecutado con privilegios de root y guarda el hash de la contraseña en el archivo /var/root/.DivX. Seguidamente, escucha un puerto TCP aleatorio, responde a solicitudes como GET / HTTP/1.0 enviando un paquete de 209 bytes y se conecta repetidamente a dos direcciones IP.
Hecho esto, la aplicación de crack abre una imagen de disco escondida en su carpeta de recursos, en una carpeta denominada .data, y procede a craquear el programa Photoshop, permitiendo su uso.
El software malintencionado se conecta a un servidor remoto por Internet, lo que permite a su creador recibir un aviso de que el troyano se ha instalado en distintos Macs y le da la posibilidad de conectarse y llevar a cabo diversas acciones de forma remota. El troyano también puede descargar otros componentes en un Mac infectado.
Intego hace público este aviso para advertir a los usuarios de Mac de que no descarguen instaladores de Photoshop CS4 de sitios que ofrezcan software pirata. (A las 12 del mediodía, hora española, unas 5.000 personas habían descargado este instalador, según un importante sitio de redes BitTorrent.) Puesto que el troyano, en este caso, se encuentra sólo en la aplicación de crack empaquetada con Photoshop CS4, los usuarios deben evitar descargar cualquier software de crack en sitios que distribuyan software pirata. El riesgo de infección es importante debido al número de usuarios infectados, y estos usuarios pueden enfrentarse a consecuencias sumamente graves si su Mac queda a merced de usuarios malintencionados. La primera versión de este troyano fue vista descargando código nuevo en equipos infectados, que se utilizaron luego para un ataque de DDoS (denegación de servicio distribuida) a determinadas páginas web. Dado que esta nueva variante emplea la misma tecnología y contacta con los mismos servidores remotos, es probable que intente descargar código nuevo y realizar acciones similares.
Intego VirusBarrier X4 y X5, con las definiciones de virus del 25 de enero de 2009 o posteriores, protege contra este troyano. Intego recomienda que los usuarios no descarguen ni instalen nunca software procedente de fuentes que no sean de confianza o de sitios web de dudosa legitimidad. A pesar del aviso de seguridad de Intego acerca de la primera versión del troyano y pese a los comentarios en las redes torrent, siguen dándose casos de infección por estos archivos. El torrent de iWork 09 sobre el que alertamos el 22 de enero lo han descargado al menos 1.000 personas más desde nuestra advertencia. Por todo ello, consideramos que este troyano supone un riesgo grave.
