El troyano, con ejemplos
Análisis de qué es el nuevo troyano y sus consecuencias.
17/5/2004
No, no se trata de una critica del la ultima película de Brad Pitt, ni si las faldas van a estar de moda la temporada que viene en la moda masculina (¿se ha tratado esto ya en La Pecera?), mas bien son algunas consideraciones sobre las posibilidades de introducción de troyanos en MacOS X.
Un troyano, en general, es cualquier aplicación que ejecuta código en nuestra maquina sin percatarnos o sin haberlo ordenado expresamente. Para ello, normalmente, los troyanos aparte de ejecutar el código oculto suelen proporcionar alguna utilidad al usuario que es lo que hace que se difundan. Si borran nuestro disco duro a las primeras de cambio no van a ir muy lejos. En el caso que vamos a discutir a continuación no es así, razón por la cual muchos han dudado de que se le pueda tildar siquiera de troyano pese a que cumple con la definición, quizá por su escasa sofisticación.
La empresa Intego hace un mes advirtió de la posibilidad de introducir un troyano en MacOS X de manera sencilla, poniendo por ejemplo un archivo MP3, asunto que ya se discutió en su momento tanto en Macuarium como en otros sites como Slashdot.
Ahora, fuera del laboratorio
Ahora ha vuelto a la actualidad por la aparición de un troyano que simula ser un instalador de Office 2004 en las redes Peer to Peer (P2P, e.d. Kazaa, Gnutella y compañía). En vez de instalarnos dicha aplicación lo que hace es borrar el directorio raíz del usuario que ejecuta el programa. Dicho programa es en realidad un AppleScript que básicamente lleva el código lo cual no hace otra cosa que ejecutar el comando UNIX "rm -rf ~" en una pantalla que se abre en la aplicación Terminal causando el estropicio consiguiente.
El mecanismo del troyano
Hemos realizado una prueba de concepto del troyano nosotros mismos (es que es muy fácil) con un “presunto” archivo de Powerpoint para que veáis exactamente cómo funciona. El archivo en si lo podríamos recibir por correo electrónico y tiene esta apariencia
 |
| Aspecto del archivo como anexo en un mensaje de correo |
Una vez que arrastramos el archivo adjunto al escritorio tiene la apariencia de
un inofensivo archivo de PowerPoint:
 |
| Simula ser un inofensivo archivo |
En realidad se trata de una aplicación como podemos ver al obtener información sobre el archivo:
 |
| Mostrando su verdadera naturaleza |
De hecho, si se envía por email sin comprimir este tipo de “troyanos” se revela muy pronto, porque pierde el icono de Powerpoint y recupera el de AppleScript.
El archivo en cuestión lo podéis bajar desde aquí (probablemente haya recuperado su icono original):
enlace al archivo adjunto Informe anual.ppt
Este programa en concreto usa la orden de AppleScript para ejecutar comando en una shell (do shell script) y todo lo que hará será ejecutar el comando UNIX "ls -lR" que hace un listado de nuestros directorios pese a afirmar que esta borrando nuestros archivos, en ingles (es que queda sociológicamente mas verosímil, una tontería :D ). Basta pulsar Ctrl + C para detener el listado.
Un troyano bastante serio
Con respecto al troyano que ha dado pie a este articulo se ha comentado que si alguien es tan estúpido como para ejecutar un instalador de Office 2004 obtenido de redes P2P (¡¡y de tan sólo 24 kB!!) se lo tiene bien merecido.
Acabamos de ver que la cosa puede no ser tan obvia, y que se puede ocultar el código bajo la apariencia de archivos supuestamente inofensivos con extensiones como .mp3, .doc, .ppt, etc. los cuales nos pueden llegar a través del correo. Teniendo en cuenta la cantidad de correo no deseado que se recibe hoy en día, que las direcciones de procedencia del correo pueden ser falsificadas fácilmente y que, pese a las recomendaciones en contra, algunos amigos se empeñan en poner como asunto del mensaje un lacónico "Hola" (¡o simplemente nada!), no es descabellado pensar que cualquiera en un descuido pueda caer en la trampa.
Se han apuntado la posibilidad de evitar el borrado haciendo un alias del comando rm (remove) a mv ~/Trash por ejemplo, lo cual simplemente trasladaría los archivos a la papelera (desastre suficiente en mi opinión), además bastaría usar /bin/rm (e.d. usando el path completo) para que este tipo de soluciones queden invalidadas.
La posibilidad mas fácil para desenmascarar las aplicaciones que no aparecen como tales seria que OS X no ocultase la extensión de ningún archivo, sin excepción, pese a la grima que pueda dar a los que han usado o usan anteriores sistemas operativos de Apple. De todos modos esto solo facilita la labor de desenmascaramiento: si el usuario se empeña en dispararse en el pie, a buen seguro que lo hará.
La seguridad de Mac OS X
De repente parece que MacOS X se ha vuelto muy inseguro, ¿es cierto?
Realmente no. El usuario, tratándose de ordenadores personales, siempre ha tenido la potestad de borrar archivos a diestro y siniestro y no hacer backups en meses (si, ve a mirar...). Otra cosa es que nos faciliten la tarea o la hagan por nosotros :-)
No nos encontramos ante una vulnerabilidad exclusiva de OS X (salvo porque en este caso concreto se hace uso de AppleScript), los troyanos son una posibilidad bajo cualquier sistema operativo ya que son muchas las opciones para ocultar código malicioso (o graciosillo) en cualquier aplicación o archivo. Es el usuario el que debe estar alerta y manejar con cuidado los archivos de procedencia dudosa.
Tengan cuidado ahí afuera...
Discute sobre el tema en los foros:
http://www.macuarium.com/foro/index.php?showtopic=72672
Comenta
el artículo en los Foros
Vuelta
al Menú
