viernes, 29 de octubre de 2010

Boonana, nuevo troyano para Mac OS X, y cómo eliminarlo.

Ya tenemos otro troyano -que no virus- que afecta también a Mac OS X. Al parecer, la voz de alerta la ha dado SecureMac. Para aquellos que no dominen el inglés (aunque sea bajito y se deje) os dejo aquí una traducción libre de la nota de SecureMac acompañada por las capturas de pantalla que ellos mismos muestran en su web.

¿Cómo se contagia Boonana?
La infección inicial del troyano Boonana se realiza inicialmente a través de un mensaje "gancho" en redes sociales (Facebook, Twitter…) con el texto "Is this you in this video?" y que incluye un enlace o link a una dirección web externa. Es de esperar que el texto varíe o aparezca de diferentes formas.


Si se hace clic sobre ese enlace, un applet Java intentará cargarse en el navegador del usuario, apareciendo una ventana como la de arriba (los tachones de las URL son de SecureMac).


El navegador solicitará al usuario el permiso para permitir que se ejecute el contenido de un sitio sin certificación verificada. De hecho, se nos advierte que la firma digital del certificado no ha podido ser verificada, y que no aceptemos si no conocemos su procedencia.

Pero si hacemos que lo que nunca hay que hacer…
Pero si el usuario es de los que hacen clic en cualquier botón que le pongan delante con un OK, un Si o un Aceptar y acepta el certificado en cuestión el applet java se carga y ejecuta:


Una vez se ha cargado, se nos muestra una ventana similar a las de Youtube, con la imagen y un link a un sitio web del tipo "hotornot.com", y se instala automáticamente en un directorio oculto llamado ".jnana" dentro del directorio Home del usuario. A partir de ese momento empieza a funcionar como un servicio de forma invisible al usuario y se comunica con una serie de servidores.


Durante las pruebas realizadas por SecureMac, el applet Java, tras comunicarse con uno de los servidores presentó una ventana de instalación. Pero al contrario de lo habitual, no mostraba el típico mensaje de advertencia "esta aplicación se ha descargado de internet…."


Además, el instalador no nos pide que nos "autentiquemos" con nombre de usuario y contraseña para autorizar la instalación. A continuación empieza a hacer toda una serie de tropelías: Copia el contenido del directorio ".jnana" de la carpeta Home del usuario al directorio /var/root/.jnana/. A continuación instala un proceso para que inicie en el arranque del Sistema con el correspondiente archivo de Preferencias en:
 /Library/StartupItems/OSXDriverUpdates/.
Los archivos en cuestión se llaman: "OSXDriverUpdates" y "StartupParameters.plist."

El instalador reemplaza el archive "sudoers" en /etc con una copia modificada que permite que se ejecute cualquier comando con privilegios de roto, pero sin necesidad de contraseña.


Esto me parece especialmente peligroso, no por este troyano en si, sino porque facilita que cualquier otro malware, aunque no tenga relación ninguna con éste, pueda acceder a nuestro Sistema. Una vez instalado y corriendo, el muy ladino inicia una tarea launchd para asegurarse de que vuelva a reiniciarse automáticamente si se cierra o apagamos el ordenador. El proceso launchd  se instala en ~/Library/LaunchAgents/jnana.plist.

MIentras está activo, el troyano se conecta a una serie de servidores, incluyendo sitios web que facilitan la dirección IP del ordenador infectado, portales de búsqueda y nos deja a merced de servidores del tipo "command and control."
A partir de ahí, podrán obtener información de nuestro ordenador y convertirlo en propagador del troyano y sin que nos enteremos de nada.


¿Se puede quitar manualmente?
Si, si recurrimos al Terminal, tanto para detener los servicios como para borrar los archivos. Para detener el servicio launchd hay que ejecutar este comando:

launchctl unload -w ~/Library/LaunchAgents/jnana.plist

Luego hay que detener Java:

killall java

A continuación, borrar los archivos:

sudo rm -rf ~/.jnana/
sudo rm -rf /Library/StartupItems/OSXDriverUpdates/
sudo rm -rf /var/root/.jnana/
sudo rm -rf ~/Library/LaunchAgents/jnana.plist


Recordad que el troyano ha modificado el archive sudoers (/etc/sudoers), por lo que habría que reeditarlo o bien remplazarlo por una copia no alterada en la que hay que asegurarse que dispone de los permisos adecuados.

En SecureMac no explican ni cómo se edita el archivo ni de dónde sacar la copia. Pero si que nos facilitan una herramienta descargable aquí. Se nos dice que la Boonana Removal Tools elimina los archivos instalados por el troyano, aunque no dice nada de devolver el archivo "sudoers" a su estado inicial.
Yo, por si acaso ya he hecho una copia...

Si somos muy paranoicos podemos desactivar Java en Safari, y activarlo sólo cuando sea necesario utilizarlo en un sitio de confianza:

1 comentario: