Como bien sabéis en AppleWeblog estamos muy conscientes de la necesidad de informar al momento de cualquier nuevo software malicioso con la intención de extraer información comprometida de nuestro Mac. Esto fue lo que sucedió hace meses con MacDefender y más recientemente con un troyano que se disfrazaba de instalador de Flash Player. Si bien es muy difícil que un virus infecte a OS X, en cambio las aplicaciones que se disfrazan de otras o se ocultan detrás de otras no son fáciles de eliminar porque implican la intervención del propio usuario que permite la descarga de estas aplicaciones a su ordenador.
Hasta ahora y desde finales de 2009 la medida tomada por Apple ha sido la de mantener una base de datos llamada XProtect que desde que MacDefender hizo su aparición se actualiza cada día en nuestro Mac. Esta lista de troyanos y otros desarrollos con malas intenciones permite al navegador impedir su descarga incluso si el usuario las consiente por desconocimiento. Sin embargo, este método de mantener la seguridad de nuestro Mac a salvo podría estar en situación comprometida debido a una variante del troyano con forma de instalador de Flash Player. Ahora parece ser que este software ha sido modificado por sus programadores para que sea capaz de bloquear la actualización diaria de la base de datos de OS X y de ese modo protegerse contra esa medida de seguridad.
El nuevo troyano se llama Flashback.C (a diferencia del anterior con denominación Flashback.A) y entra en XProtect cambiando las rutas de actualización por espacios en blanco de modo que deja el sistema sin efecto. Como siempre, ¿qué maneras hay de protegerse de este troyano? La más simple es descargar el instalador de Flash Player solo desde la página de Adobe siempre que realmente lo necesitemos por no tenerlo aún en el Mac. Si ya lo poseemos en su última versión disponible no hagamos caso de las advertencias que aparezcan en cualquier página para que actualicemos el reproductor Flash.
Si sospechamos que podríamos haber permitido la entrada a este software malicioso, desde F-Secure tienen una solución. Eliminar la parte siguiente
LSEnvironmentDYLD_INSERT_LIBRARIES
%path_of_detected_file_from_step_1%
Del archivo contenido en el paquete de Safari y Firefox bajo la ruta siguiente:
/Aplicaciones/Safari/Contents/Info.plist
/Aplicaciones/Firefox/Contents/Info.plist
Como siempre y como puede desprenderse de lo anterior, el sentido común es la mejor arma contra los troyanos y demás programas malware.
 |
 |
