Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Inqtana.A. Se propaga vía bluetooth por Mac OS X
 
VSantivirus No. 2053 Año 10, martes 21 de febrero de 2006

Inqtana.A. Se propaga vía bluetooth por Mac OS X
http://www.vsantivirus.com/inqtana-a.htm

Nombre: Inqtana.A
Nombre NOD32: Java/Inqtana.A
Tipo: Gusano de Internet
Alias: Inqtana.A, Inqtana.A, Java/Inqtana.A, Java/Inqtana.A.worm, OSX.Inqtana.A, OSX/Inqtana.a, OSX/Inqtana.A!worm, OSX/Inqtana-A, OSX_INQTANA.A, OXS/Inqtana.a, OXS/Inqtana-A, Worm.Inqtana.a, Worm.Java.Inqtana.a
Fecha: 20/feb/06
Plataforma: Macintosh OS X
Tamaño: 4,228 bytes

Se trata de una prueba de concepto de un gusano capaz de ejecutarse en computadoras basadas en el sistema operativo Apple Macintosh OS X, que se propaga explotando una vulnerabilidad del tipo "Directory Traversal Vulnerability" para copiarse a si mismo en otras computadoras a través de una conexión bluetooth (la norma que actualmente define un estándar global de comunicación inalámbrica). 

NOTA: Una vulnerabilidad "Directory Traversal Vulnerability", ocurre cuando se especifica un nombre de archivo con la secuencia de caracteres "..\" o "..%5C", lo que puede permitir el acceso a directorios superiores, diferentes a los asignados dentro del entorno controlado por la aplicación.

El gusano copia tres archivos:

w0rm-support.tgz
com.openbundle.plist
com.pwned.plist

Explota la vulnerabilidad mencionada antes para crear los siguientes archivos:

/Users/w0rm-support.tgz
/Users/InqTest.class
/Users/com.openbundle.plist
/Users/com.pwned.plist
/Users/libavetanaBT.jnilib

También crea las siguientes carpetas, conteniendo archivos no maliciosos:

/Users/javax
/Users/de

Crea los siguientes archivos para autoejecutarse cuando Mac OS X se inicia:

/Users/[usuario]/Library/LaunchAgents/com.pwned.plist
/Users/[usuario]/Library/LaunchAgents/com.openbundle.plist

Cuando se ejecuta, busca otros equipos con dispositivos bluetooth habilitados, y si los encuentra, intenta enviarse a las computadoras remotas.


Limpieza manual

Para borrar manualmente el gusano, borre los siguientes archivos:

/Users/w0rm-support.tgz
/Users/InqTest.class
/Users/com.openbundle.plist
/Users/com.pwned.plist
/Users/libavetanaBT.jnilib
/Users/[usuario]/Library/LaunchAgents/com.pwned.plist
/Users/[usuario]/Library/LaunchAgents/com.openbundle.plist

También borre las carpetas JAVAX y DE

/Users/javax
/Users/de


Relacionados:

Mac OS: Ejecución de código y modificación de claves
http://www.vsantivirus.com/vul-macos-010306.htm



[Última modificación: 05/03/06 19:21 -0200]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS