Menú principal

martes, 16 de noviembre de 2010

Detectar y eliminar el troyano Boonana.A en Mac OS X

Recientemente se le está dando mucho bombo en las comunidades Mac a un nuevo troyano que afecta a todas las versiones del sistema operativo Mac OS X. Sí, incluyendo también la versión Snow Leopard. Este troyano del que ya hemos hablado en Seguridad Apple, se trata del llamado Booanana.A, cuya peculiaridad es que utiliza las redes sociales, al igual que Koobface, como medio de propagación.

En Securemac.com han realizado un estudio del funcionamiento de Booanana.A, el cual trataremos de explicar brevemente en este artículo. La primera vía de infección de Booanana.A es a través de redes sociales mediante el envío de mensajes tales como ‘¿Eres tú el de este vídeo? / Is this you in this video?’ o similares, enlazando el vídeo con una URL que apunta una dirección web externa.

Una vez se accede a dicha página aparecerá un cuadro de diálogo de alerta pidiendo realizar la instalación de un applet Java cuya firma digital, por supuesto, no puede ser comprobada contra una de las unidades de certificación de confianza.

Figura 1: Diálogo de alerta de Boonana.A

Una vez aceptada la instalación del applet, se mostrará una interfaz similar a la de youtube en donde se verá una foto aleatoria carga desde el dominio ‘hotornot.com’. En este momento ya se tiene el virus instalado en el sistema operativo del equipo, concretamente en la carpeta oculta ‘.jnana’ del directorio $HOME del usuario. Según las pruebas realizadas por ‘securemac.com’, parece ser que este malware es un bot para convertir en zombie la máquina y crear una botnet, ya que, tras la instalación, Booanana.A se comunica con un panel de control para recibir las ordenes.

Para desinfectar de Booanana.A de un equipo basta con seguir estos pasos que parará la ejecución del applet de la máquina y eliminará todos los ficheros copiados y creado por el troyano:

launchctl unload -w ~/Library/LaunchAgents/jnana.plist
killall java
sudo rm -rf ~/.jnana/
sudo rm -rf /Library/StartupItems/OSXDriverUpdates/
sudo rm -rf /var/root/.jnana/
sudo rm -rf ~/Library/LaunchAgents/jnana.plist

Para finalizar, será necesario restaurar el fichero de /etc/sudoers, ya que es modificado por Boonana.A para ejecutar cualquier comando con permisos de root.

Medidas básicas de protección contra malware

Como medidas generales de protección personal contra este tipo de amenazas, intenta mantener todo tu software actualizado, no utilices la cuenta de root o alguna con permisos administrativos para navegar por Internet, no sigas enlaces de procedencia dudosa y procura tener instalado un antivirus con protección en tiempo real para detectar comportamientos anómalos de software malicioso en tu equipo.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares