Austin, Texas (EE UU), 21 de febrero de 2006
ALERTA DE SEGURIDAD DE INTEGO
LA VERDADERA AMENAZA DEL TROYANO OOMPA-LOOMPA
Preguntas y respuestas para usuarios de Mac acerca de cómo protegerse del troyano
"Oompa-Loompa" (conocido también como "Osx/Oomp-A" o "Leap.A")
Desde el descubrimiento del troyano Oompa-Loompa (también denominado
OSX/Oomp-A o Leap.A), Intego ha analizado el troyano original y las dos
variantes que se han detectado en circulación, a fin de determinar
el grado de peligro que entraña para los usuarios de Mac. El presente
documento describe cómo funciona este troyano, cómo se
transmite y cómo pueden protegerse los usuarios de Mac. Actualmente,
la mejor protección contra este troyano y sus distintas variantes
es Intego VirusBarrier X4, que ofrece una protección total contra
todos los virus conocidos. "Está claro que el software antivirus
es algo tan esencial en un Macintosh como llevar puesto el cinturón
de seguridad en el coche", afirma Laurent Marteau, director ejecutivo
de Intego. "Sólo te das cuenta de lo valioso que es cuando
lo necesitas."
Intego fue el primero en descubrir este troyano a principios de la semana
pasada y actualizó sus definiciones de virus el 14 de febrero
de 2006 para proporcionar la protección necesaria a los usuarios
de VirusBarrier X y VirusBarrier X4. La compañía actuó en
cuanto se detectó el troyano en circulación, si bien decidió no
hacer pública la amenaza inmediatamente, ya que podría
haber incitado a los hackers a crear nuevas variantes con otros comportamientos
distintos. De hecho, poco después de publicarse información
acerca de este troyano, se encontraron en circulación otras dos
variantes. Actualmente, este troyano daña a las aplicaciones y
se transmite a otros usuarios por medio de iChat en una red local Bonjour;
las variantes futuras pueden entrañar más riesgos para
la seguridad.
El Centro de Control de Virus de Intego ha examinado el troyano original
y sus variantes. Las preguntas y respuestas que pueden leerse a continuación
explican cómo funciona el troyano, cómo infecta a los ordenadores
Macintosh, cómo se propaga y qué pueden hacer los usuarios
de Mac para protegerse.
* * *
¿Qué es el troyano Oompa-Loompa?
El troyano Oompa-Loompa, conocido también con las denominaciones OSX/Oomp-A y Leap.A, afecta a los ordenadores Macintosh con el sistema Mac OS X. Este troyano infecta las aplicaciones de los ordenadores en los que se ejecuta, permitiendo que dichas aplicaciones extiendan a su vez el virus, y puede propagarse autoenviándose a los contactos de iChat de los usuarios por medio de una red local Bonjour.
¿Cómo pueden protegerse de este troyano los usuarios de Mac?
Intego VirusBarrier X y VirusBarrier X4 erradican el troyano Oompa-Loompa utilizando las definiciones de virus con fecha 14 de febrero de 2006 y posteriores. Intego trabaja con diligencia para garantizar que VirusBarrier X y VirusBarrier X4 erradicarán igualmente cualquier otro troyano que intente explotar la misma técnica en el futuro.
¿Existe más de una versión de este troyano?
El Centro de Control de Virus de Intego ha podido aislar hasta el momento tres versiones del troyano y continúa supervisando cualquier actividad sospechosa para asegurarse de que no existen otras.
¿Qué aspecto tiene este troyano?
El troyano, que en un principio se presenta en forma de archivo
comprimido con el nombre latestpics.tgz o latestpics.gz, una vez descomprimido
aparenta ser un archivo de gráficos. No obstante, si algún
hacker alterase la versión actual del troyano, el archivo podría
presentarse con otros nombres o como otro tipo de archivo.
 ``
¿Cómo se activa este troyano?
El usuario debe descargar el archivo de una web, recibirlo por
correo electrónico como archivo adjunto o recibirlo vía iChat
a través de un contacto en una red local Bonjour. En este último
supuesto, es más probable que no desconfíe de la fuente,
aunque el “emisor” en realidad ni siquiera es consciente de
que el archivo se está enviando. El usuario debe hacer doble clic
en el archivo para descomprimirlo y, a continuación, en el troyano
resultante, que aparece camuflado bajo un icono personalizado para aparentar
ser un archivo de imagen.
¿Advierte este troyano de su presencia solicitando una contraseña de administrador?
No, el troyano ejecuta un script en una ventana de Terminal, pero
no da ningún otro indicio de que está actuando. No solicita
contraseña de administrador, ya que infecta la carpeta de inicio
del usuario o, si el usuario ha iniciado la sesión como ‘root’,
una carpeta del sistema. En el primer caso, no se necesita contraseña
para añadir archivos a la carpeta de inicio del usuario. En el segundo
caso, relativamente poco frecuente, un usuario que ha iniciado la sesión
como ‘root’ tampoco debe introducir su contraseña para
poder instalar archivos en las carpetas del sistema.
¿Cómo infecta este troyano un sistema Mac OS X?
Cuando un usuario hace doble clic en el archivo descomprimido,
esperando ver una imagen, el código del archivo se ejecuta: una
ventana de Terminal se abre mostrando la ejecución de un proceso
y, al finalizar, se cierra. Este proceso instala el troyano Oompa-Loompa
en el Mac del usuario en dos lugares. El troyano se copia en la carpeta
/tmp (utilizada para almacenar archivos temporales) e instala un archivo
denominado apphook.bundle en la carpeta InputManagers del usuario (en su
carpeta Librería), lo que hace que se replique en las demás
aplicaciones Cocoa que se abran. (Si el usuario ha iniciado la sesión
como ‘root’, el troyano se instala en la carpeta /Librería/InputManagers
a nivel de sistema.)
Haciendo uso de Spotlight, el troyano busca cuatro aplicaciones que
se hayan utilizado recientemente y las infecta con su propio código.
El Input Manager de apphook.bundle intenta enviar una copia del archivo
original, latestpics.tgz, a todas las personas incluidas en la lista
de contactos de iChat del usuario, si éste está conectado
a una red (local) Bonjour. Dado que los usuarios reciben este archivo
de amigos o colegas de trabajo, asumen que es seguro y hacen clic en él
para descomprimirlo y, a continuación, para intentar verlo. Además,
cuando los usuarios abren las aplicaciones afectadas, el código
del Oompa-Loompa busca otras aplicaciones que también pueda infectar.
¿Se trata de un troyano, un virus o un gusano informático?
Es una combinación de todos ellos:
1. En primer lugar, es un troyano:un ejecutable oculto en un documento con
apariencia de archivo de gráficos, en un intento de engañar a
los usuarios para que lo abran. Es el primer contacto que tiene el usuario
con este software malicioso ("malware").
2. También es un virus, ya que se replica en otros programas del ordenador, dañándolos y añadiéndoles su código.
3. Y por último, es también un gusano, dado que envía
una copia por iChat a otros usuarios. Los usuarios que reciben el archivo tienen
en su máquina un troyano.
Se ha insinuado que los usuarios que se arriesgan a descargar
archivos de fuentes que no son de confianza deberían actuar
con más responsabilidad. ¿Es así como se propaga
el troyano Oompa-Loompa?
Para garantizar que los usuarios puedan acceder a la ingente cantidad
de información disponible en Internet, es básico que se protejan
mediante un software de seguridad eficaz. Sugerir que los usuarios no deben
realizar descargas va en contra del propio valor que posee Internet, donde
pueden encontrarse tantos programas y tanta información. Por otro
lado, si este troyano se propaga por iChat en redes Bonjour, lo normal
es que los usuarios confíen en quien les envía el archivo,
ya que es probable que esto sea algo habitual. En muchas empresas, los
mensajes instantáneos se utilizan con frecuencia y se envían
y reciben archivos con total normalidad.
¿Cómo supo Intego de la existencia de este troyano?
Intego recibió una copia de este troyano el 14 de febrero
de 2006, después de que un usuario de Intego lo descubriera en un
foro sobre Macintosh. El usuario esperaba que el archivo incluyera imágenes
preliminares de un nuevo sistema operativo, pero lo que en realidad hizo
fue infectar su Mac. Lo descubrió más tarde, cuando los contactos
de iChat de su red local le preguntaron por qué les estaba enviando
archivos; también observó que algunas de sus aplicaciones
ya no se abrían.
¿Ha informado Intego a Apple acerca de este troyano?
Sí, lo hicimos en cuanto lo examinamos y certificamos su
peligrosidad. Fuimos la primera empresa de seguridad que proporcionó muestras
de este troyano y hemos estado en estrecho contacto con Apple para tomar
medidas y garantizar que pueda controlarse lo antes posible.
¿Intego puede proporcionar muestras de este troyano a usuarios que tengan curiosidad por ver cómo funciona?
No. La función de Intego es proteger a sus usuarios, no
propagar software malicioso. Sí que hacemos llegar estos archivos
a otras empresas de seguridad, y también a Apple, pero a nadie más.
¿Este troyano borra archivos?
No, por el momento sólo infecta aplicaciones y se envía
a otros usuarios por iChat en redes Bonjour. Existe la posibilidad, sin
embargo, de que algunos hackers modifiquen el troyano para que borre archivos.
¿Afecta el troyano a archivos del sistema de Mac OS X?
No, sólo afecta a aplicaciones, al menos en su versión actual.
¿Afecta este troyano a Mac OS 9 o versiones anteriores de Mac OS X?
Sólo afecta a Mac OS X 10.4 (Tiger).
¿Afecta a los nuevos Macintosh con procesadores Intel?
En los Macs con procesadores Intel, el troyano se ejecuta en el entorno de emulación Rosetta. Infecta aplicaciones, pero no puede propagarse por iChat.
Para obtener más información acerca del troyano Oompa-Loompa, puede consultar la nota de prensa relacionada: http://www.intego.com/es/news/pr76.asp
Acerca de Intego
Intego desarrolla y comercializa software para Macintosh orientado a la seguridad y la privacidad en Internet.
La compañía ofrece la gama más amplia de software para proteger el Mac y a sus usuarios de los distintos peligros de Internet. El software y el soporte multilingües de Intego reciben con frecuencia premios y el reconocimiento por parte de revistas especializadas Mac y protegen a más de un millón de usuarios en más de 60 países. La compañía tiene sedes en Estados Unidos, Francia y Japón.
Los peligros que acechan en Internet aumentan cada día. Por ello, Intego trabaja sin descanso en el desarrollo de nuevos productos que protejan a los usuarios y sus equipos de las últimas amenazas en materia de seguridad y privacidad.
Protegemos su mundo. We protect your world™.
# # # #
|
