Posiblemente se trate del primer caballo de Troya diseñado
especialmente para el sistema operativo Mac OS X, si bien los
primeros informes han exagerado seguramente su alcance real que
no dejará de ser testimonial. No obstante, es posible que su
existencia signifique un punto de inflexión y tenga importantes
efectos futuros.
MP3Virus.Gen (o MP3Concept) es un caballo de Troya que se
distribuye dentro de los archivos de música en formato MP3,
encapsulando su código dentro de la marca ID3, un campo de la
cabecera que habitualmente contiene información como el título,
artista, álbum…
El caballo de Troya se distribuye con el aspecto de un archivo
MP3 que tiene asociado los atributos de recursos de aplicación.
Adicionalmente, en el campo ID3 del archivo MP3 se encuentra el
código binario del caballo de Troya.
Cuando el usuario realiza un doble clic sobre el archivo MP3 que
contiene el caballo de Troya, el sistema operativo identifica la
presencia de los atributos de recursos por lo que identifica el
archivo como una aplicación y la ejecuta (con los privilegios del
usuario activo en el sistema). Una parte del atributo de recursos
se encarga de apuntar al código incluido en el campo ID3, lo que
permite su ejecución. A continuación, mediante AppleEvent se
ejecuta iTunes que empieza la reproducción del archivo MP3
propiamente dicho.
Como el usuario lo único que nota es que iTunes se ejecuta
inmediatamente después de que haya realizado doble clic sobre el
archivo MP3, le pasa totalmente desapercibida la ejecución propia
del caballo de Troya incluido dentro de ese mismo archivo.
La versión actual del caballo de Troya es realmente benigna y no
tiene ningún efecto pernicioso. De hecho, más que un caballo de
Troya en realidad podría considerarse una prueba de concepto, ya
que el único efecto es la visualización de un aviso al usuario de
que se trata de una aplicación. Si bien la versión actual no
tiene efectos destructivos, el mismo concepto puede utilizarse
para realizar acciones más drásticas.
La noticia inicial de la existencia de este caballo de Troya ha
originado la publicación de diversos artículos donde se quita
importancia a su existencia. No obstante, lo importante de este
caballo es su propia existencia.
En la actualidad, entre los usuarios de Mac OS X no existe la
misma cultura sobre seguridad que puede existir en los usuarios
de otros entornos. La práctica ausencia de virus, gusanos y otros
productos de malware en esta plataforma hace que muchos usuarios
no apliquen las mínimas medidas de seguridad y protección.
Muchos usuarios de Mac OS X ni siquiera se han planteado la
necesidad de disponer de un programa antivirus con el pretexto de
«no hay virus para Mac OS».
La existencia de este caballo de Troya ha de servir para que los
usuarios de Mac OS sean conscientes que ningún producto de
software es invulnerable y carente de problemas de seguridad. La
ausencia de malware no ha de ser excusa para no aplicar las
medidas básicas de protección ni ignorar la necesidad de disponer
de un antivirus convenientemente actualizado ni un cortafuegos
que proteja el sistema de las conexiones entrantes y salientes no
autorizadas.
Sin duda, la situación en el entorno Mac OS X es mucho mejor que
en el entorno Windows, donde abundan todo tipo de gusanos y virus
con efectos mucho más negativos. Pero la propia existencia de
este caballo de Troya demuestra que en el entorno Macintosh
también existen problemas de seguridad potenciales. Si
MP3Virus.Gen no hace nada destructivo, tal vez en pocos días (o
semanas) aparezcan otros troyanos con efectos mucho más
destructivos.
xavi@hispasec.com
Deja una respuesta