|
VSantivirus No. 2066 Año 10, lunes 6 de marzo de 2006
Inqtana.C. Se propaga vía bluetooth por Mac OS X
http://www.vsantivirus.com/inqtana-c.htm
Nombre: Inqtana.C
Nombre NOD32: Java/Inqtana.C
Tipo: Gusano de Internet
Alias: Inqtana.C, Java/Inqtana.C, OSX/Inqtana-B, Worm.Java.Inqtana.a, Worm.Java.Inqtana.C, Worm.OSX.Inqtana.C, Worm.XML.Inqtana.C
Fecha: 28/feb/06
Plataforma: Macintosh OS X
Tamaño: 4,228 bytes
Se trata de una prueba de concepto de un gusano capaz de ejecutarse en computadoras basadas en el sistema operativo Apple Macintosh OS X, que se propaga explotando una vulnerabilidad del tipo "Directory Traversal Vulnerability" para copiarse a si mismo en otras computadoras a través de una conexión bluetooth (la norma que actualmente define un estándar global de comunicación inalámbrica).
NOTA: Una vulnerabilidad "Directory Traversal Vulnerability", ocurre cuando se especifica un nombre de archivo con la secuencia de caracteres "..\" o "..%5C", lo que puede permitir el acceso a directorios superiores, diferentes a los asignados dentro del entorno controlado por la aplicación.
El gusano copia tres archivos:
applec0re.tgz
environment.plist
pwned.dylib
Explota la vulnerabilidad mencionada antes para crear los siguientes archivos:
/Users/applec0re.tgz
/Users/InqTest.class
/Users/environment.plist
/Users/pwned.dylib
/Users/libavetanaBT.jnilib
También crea las siguientes carpetas, conteniendo archivos no
maliciosos:
/Users/javax
/Users/de
Crea los siguientes archivos para autoejecutarse cuando Mac OS X se inicia:
/Users/[usuario]/Library/LaunchAgents/pwned.dylib
/Users/[usuario]/Library/LaunchAgents/environment.plist
Cuando se ejecuta, busca otros equipos con dispositivos bluetooth habilitados, y si los encuentra, intenta enviarse a las computadoras remotas.
Limpieza manual
Para borrar manualmente el gusano, borre los siguientes archivos:
/Users/applec0re.tgz
/Users/InqTest.class
/Users/environment.plist
/Users/pwned.dylib
/Users/libavetanaBT.jnilib
/Users/[usuario]/Library/LaunchAgents/pwned.dylib
/Users/[usuario]/Library/LaunchAgents/environment.plist
También borre las carpetas JAVAX y DE
/Users/javax
/Users/de
Relacionados:
Mac OS: Ejecución de código y modificación de claves
http://www.vsantivirus.com/vul-macos-010306.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|