La compañía Intego ha reportado el descubrimiento de un nuevo malware para Mac OS X 10.6 Snow Leopard y Mac OS X 10.7 Lion, localizado en el repositorio de Virus Total. La pieza de malware está formada por un dropper y un backdoor, descargado por este primero, a los que han bautizado como OSX/Crisis y Backdoor:OSX/Crisis.
Como no ha sido descubierta activamente, no se conoce el modo de distribución que se está utilizando, y puede ser realizado mediante un binding con otros programas de instalación o usando exploits con kit de explotación habituales.
/Library/ScriptingAdditions/appleHID/La última de estas carpetas se crea sólo si el malware consigue permisos de administración, con el objeto de lograr la persistencia en el sistema frente a reinicio del sistema.
/System/Library/Frameworks/Foundation.framework/XPCServices/
 |
| Figura 1: Llamadas al sistema realizadas por OSX_Crisis |
El malware, según parece, utiliza sistemas de ofuscación para dificultar las tareas de ingeniería inversa por parte de los analistas, y se conecta a una dirección IP fija cada 5 minutos, 176.58.100.37, lo que hace suponer que se ha estado probando allí o controlando desde esta dirección. Esperaremos a ver más resultados de este análisis y a ver si se publican los hashes de las piezas de software para poder ver resultados de otros analistas.
¿Estais seguros de esas carpetas? Son las que dan en Intego, pero buscando un poco más por internet nombran una subcarpeta de XPCServices, en concreto...
ResponderEliminar/System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc
Me da que XPCServices no tienen nada que ver con el virus, al menos en mi OSX existe :-(