Este gusano se distribuía vía iChat, enviando un mensaje a todos los contactos del usuario infectado con un enlace a Rapidshare, donde había un archivo llamado latestpics.tgz en el que se suponía que había capturas de pantalla del nuevo Mac OS X 10.5 Leopard. Si el usuario descargaba ese archivo, lo desempaquetaba y lo ejecutaba, quedaba infectado, y de nuevo se convertiría en el origen de los mensajes a todos sus contactos vía iChat usando Bonjour.
El fichero que se utilizaba para distribuirse estaba construido únicamente para PowerPC, y además utilizaba SpotLight, que solo estaba disponible a partir de Mac OS X Tiger, así que solo podía infectar a usuarios de Mac OS X 10.4 Tiger en PowerPC, tal y como se puede ver en esta captura hecha con el comando file de bash en SecureLists.
Figura 1: El formato de OSX/Leap.A es de tipo Mach-O para PowerPC |
Las cadenas del ejecutable, para evitar su análisis, habían sido ocultadas con un cifrado XOR utilizando una clave de cifrado, por lo que a primera vista no se podían analizar, pero tras un procesado de las mismas y un análisis del flujo de ejecución se podía conocer su comportamiento:
Figura 2: Cadenas cifradas y clave de descifrado |
- Se copiaba a si mismo en /tmp con el nombre de latestpics.
- Creaba un fichero .tgz.
- Extraía un Input Manager, llamado “apphook.bundle” y lo copiaba a /tmp.
- Si se ejecutaba con el uid 0 (root) entonces se creaba el directorio /Library/InputManagers/. Cualquier hook de aplicaciones se borraba y el nuevo hook de aplicaciones era copiado desde /tmp.
- Si se ejecutaba con uid 0 creaba ~/Library/InputManagers/.
- Cuando una nueva aplicación era ejecutaba se lanzaba, y el nuevo hook de aplicaciones se cargaba en su espacio de direcciones.
Figura 3: Búsqueda de aplicaciones |
- Cada vez que era cargado en una aplicación intentaba enviar latestpics.tgz vía iChat para distribuirse.
Los ingenieros de ESET, que cuentan con una solución profesional antimalware para Mac OS X, publicaron un detallado documento de todo el proceso que puedes descargar desde el siguiente hipervínculo: OSX/Leap.A: Under the Hood
No hay comentarios:
Publicar un comentario