Los objetos de código Mach-O son utilizados como un formato de fichero para ejecución de programas. Este formato se utilizaba en los equipos NeXT y con la aparición de Mac OS X se empezaron a utilizar también en este sistema operativo, tanto en plataformas PowerPC como i386. A día de hoy, al ser también el sistema operativo de los iPhone, iPad, iPod Touch y Apple TV, es decir, iOS una evolución - o spin-off - de Mac OS X también son utilizados en él, donde por ejemplo se puede ver su uso en detalle en JailOwnMe.
El virus OSX/Macarena fue descubierto en Noviembre de 2006 y había sido creado especialmente para equipos Mac OS X 10.4 Tiger, ya que fueron los primeros que soportaron la arquitectura i386 en su hardware. Es por eso que OSX/Macarena se hizo tan popular, por ser el primer virus para un Mach-O sobre arquitecturas Intel x86.
 |
| Figura 1: Análisis de información de OSX/Macarena con otool |
Sin embargo, su impacto en el mundo de la seguridad fue más bien poco. El programa solo se dedicaba a copiarse a sí mismo al final de todos los ficheros Mach-O en arquitectura X86 del mismo directorio, ocultándose mediante un cambio en el Entry Point del binario haciéndolo que apuntase a __PAGEZERO.
 |
| Figura 2: Código de OSX/Macarena desensamblado con IDA Pro |
En posteriores versiones también infectaría los ficheros con arquitectura PowerPC, pero de nuevo solo lo haría para copiarse allí, sin ningún payload conocido con alguna acción maliciosa, lo que lo hace parecer más un ejercicio que un virus real y que su criticidad fuera muy baja.
No hay comentarios:
Publicar un comentario