Menú principal

martes, 27 de septiembre de 2011

Apple actualiza XProtect para frenar a OSX/{Imuler|Revir}

A pesar de que XProtect no es una solución antimalware profesional, Apple está actualizandolo de manera continua con el nuevo malware que está apareciendo para evitar, en la medida de lo que se pueda con esta tecnología, el mayor número de infecciones. Como ya analizamos en el pasado, XProtect solo se ejecuta cuando se descarga un fichero desde Internet, como por ejemplo a través de Apple Safari, y está basado en hashes de ficheros. En Julio de este año se publicó el informe de Richard Gaywood, en el que se podría comprobar cómo sólo había 18 fimas para luchar contra el malware de Apple, que evidentemente es mucho mayor.

A mediados de este año, una de las características que se agregaron a XProtect fue la de poder actualizarse periódicamente con nuevas firmas proveidas desde Apple, en un intento de luchar contra el tan dinámico mercado de malware que genera nuevos binarios con mucha rapidez. El fichero que almacena todas las fimas antimalware utilizadas por XProtect se encuentra en la ruta:

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

En él se pueden ver las últimas firmas añadidas, y se puede comprobar en cualquier momento si está o no actualizado. Así, la penúltima de la lista es el troyano OSX/QHost.WB.A, la primera aparición del troyano OSX/Flashback descubierto por Intego ayer mismo, y que demuestra que lleva ya más de un mes de campaña.

Figura 1: Firma de OSX.QHost.WB en XProtect

La última firma es, como se puede ver a continuación, una creada especialmente para el troyano OSX/Imuler que inició su campaña desde China y que Apple ha catalogado como OSX/Revir.

Figura 2: Firma de OSX.Revir en XProtect

Sin embargo, como la industria del antimalware bien sabe, este tipo de medidas solo defienden contra los ficheros ya conocidos, pero como explicamos en el artículo XPtrotect no es una solución antimalware profesional, es necesario contar con soluciones más evolucionadas para defenderse un poco mejor de los trucos de esta industria del troyano.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares