El malware Oompa-Loompa , también llamado OSX / Oomp-A o Leap.A , es un gusano que infecta aplicaciones y se propaga por LAN para Mac OS X , descubierto por la firma de seguridad de Apple Intego el 14 de febrero de 2006. [1] Leap no puede extenderse a través de Internet , y solo puede extenderse a través de una red de área local accesible mediante el protocolo Bonjour . En la mayoría de las redes, esto lo limita a una sola subred IP . [2]
Nombre común | Oompa Loompa |
---|---|
Nombre técnico | Leap.A |
Alias |
|
Clasificación | Desconocido |
Tipo | Gusano |
Subtipo | Software malicioso |
Punto de origen | [Desconocido] |
Parto e infección
El gusano salto se entrega a través de iChat mensajería instantánea programa como un gzip comprimido con tar archivo llamado latestpics.tgz . Para que el gusano surta efecto, el usuario debe invocarlo manualmente abriendo el archivo tar y luego ejecutando el ejecutable disfrazado dentro.
El ejecutable está disfrazado con el icono estándar de un archivo de imagen y pretende mostrar una vista previa del próximo sistema operativo de Apple. Una vez que se ejecuta, el gusano intentará infectar el sistema.
Para los usuarios que no son "administradores", solicitará la contraseña de administrador de la computadora para obtener el privilegio de editar la configuración del sistema. No infecta las aplicaciones en el disco, sino más bien cuando se cargan, utilizando una función del sistema llamada "apphook".
Leap solo infecta las aplicaciones Cocoa y no infecta las aplicaciones propiedad del sistema (incluidas las aplicaciones que vienen preinstaladas en una máquina nueva), sino solo las aplicaciones propiedad del usuario que está conectado actualmente. Por lo general, eso significa aplicaciones que el usuario actual ha instalado arrastrando y soltando, en lugar del sistema de instalación de Apple. Cuando se inicia una aplicación infectada, Leap intenta infectar las cuatro aplicaciones utilizadas más recientemente. Si esos cuatro no cumplen con los criterios anteriores, no se producirá ninguna otra infección en ese momento.
Carga útil
Una vez activado, Leap intenta difundirse a través de la lista de amigos de iChat Bonjour del usuario . No se propaga mediante la lista principal de amigos de iChat, ni a través de XMPP . (De forma predeterminada, iChat no usa Bonjour y, por lo tanto, no puede transmitir este gusano).
Leap no borra datos, no espía el sistema ni toma el control de él, pero tiene un efecto dañino: debido a un error en el gusano, una aplicación infectada no se inicia. [ cita requerida ] Esto es útil porque evita que las personas continúen iniciando el programa infectado.
Protección y recuperación
Un método común de protección contra este tipo de gusano informático es evitar el lanzamiento de archivos de fuentes no confiables. Una cuenta de administrador existente se puede "quitar las uñas" desmarcando la casilla "Permitir que este usuario administre esta computadora". (Al menos una cuenta de administrador debe permanecer en el sistema para instalar software y cambiar configuraciones vitales del sistema, incluso si es una cuenta creada únicamente para ese propósito).
Recuperarse después de una infección de Leap implica eliminar los archivos del gusano y reemplazar las aplicaciones infectadas con copias nuevas. [ cita requerida ] No requiere reinstalar el sistema operativo, ya que las aplicaciones propiedad del sistema son inmunes. [3]
Referencias
- ^ Nuevo caballo de Troya de Mac OS X: Oompa-Loompa, también llamado OSX / Oomp-A o Leap.A , Intego , 2006-02-14 , consultado 2012-01-20
- ^ https://www.sophos.com/en-us/press-office/press-releases/2006/02/macosxleap.aspx
- ^ https://www.sophos.com/en-us/press-office/press-releases/2006/02/macosxleap.aspx