Buscador
- | Inicio
- Seguridad
- INTECO-CERT
- Actualidad
- Virus
- Detalle de virus
Detalle de virus
Espía para plataforma MAC OS que roba información sensible del ordenador infectado. Llega al sistema descargado por otro programa que se descarga el usuario voluntariamente.
Detalles técnicos
- Peligrosidad: 2 - Baja
- [Explicación de los criterios]
- Difusión: Baja
- Daño: Alto
- Dispersibilidad: Baja
- Fecha de alta: 02/06/2010
- Última actualización: 02/06/2010
- Nombre completo del virus: SpyWare.MAC/OpinionSpy@Otros
- Tipo de código: SpyWare Programa que se instala sin consentimiento del usuario para recoger información del usuario y del sistema.
-
Plataformas afectadas: MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Alias:
Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
Otro mecanismo de propagación
Carece de rutina propia de propagación, suele llegar al sistema descargado por alguna aplicación para MAC OS que se instale. El espía no forma parte de estos programas, sino que cuando se instala alguno de estos programas en el ordenador, descarga este programa malicioso.
Algunas de estas aplicaciones muestran un texto algo confuso que el usuario debe aceptar y en el que se le informa de que se va a instalar un programa de "investigación de mercados", aunque esta notificación no se muestra en todos los programas. Por su parte este espía recopila información que va más allá de la "investigación de mercados".
Para conocer las aplicaciones que descargan este programa malicioso puede consultar el listado generado por Intego .
Infección/Efectos
Cuando OpinionSpy se ejecuta, realiza las siguientes acciones:
Resto de acciones
Método de infección
Realiza las siguientes acciones:
- Cuando se instala pide al usuario la contraseña de administrador -root- y se ejecuta con permisos de root.
- Contiene rutinas para volver a ejecutarse en caso de que se haya detenido su ejecución.
- Abre una puerta trasera HTTP por el puerto 8254
- Escanea todas las unidades del ordenador, incluidos dispositivos extraíbles y unidades en red, en busca de información.
- Analiza toda la información enviada a o desde el ordenador infectado.
- Inyecta código sin el conocimiento del usuario en Safari, Firefox e iChat, y copia información personal que haya en estas aplicaciones.
- Envía información cifrada a varios servidores, utilizando los puertos 80 y 443. Esta información es relativa a los ficheros escaneados localmente, direcciones de correo, cabeceras de mensajes de iChat... La empresa que recibe todos estos datos, puede guardar información muy precisa de los usaurios, sus hábitos, preferencias, ubicación, etc.
- El espía puede actualizar su código sin necesiadad de intervención por parte del usuario.
- Puede dificultar el funcionamiento normal del ordendor debido a la gran cantidad de recursos que utiliza.
Entre la información que puede recopilar están el contenido de los ficheros que haya en el equipo, nombres de usuarios, contraseñas, números de tarjetas bancarias, etc.
Contramedidas
Desinfección
Aunque para que este espía esté en el ordenador es necesario que sea descargado por otro programa, si se desea eliminar el programa original del ordenador, el espía seguirá instalado en el equipo y ejecutándose libremente.
- Si utiliza MAC OS X Leopard o Snow Leopard y sabe cuándo se produjo la infección, puede usar la característica de 'Time Machine' para eliminar el virus volviendo a un punto de restauración anterior a la infección -tenga en cuenta que se desharán los cambios de configuración y se eliminarán todos los archivos que haya creado o descargado desde la fecha de la copia-. Si tiene alguna duda o problema sobre el funcionamiento de esta opción, puede consultar la guía de MAC sobre TimeMachine.
- En caso de que no pueda volver a un punto anterior de TimeMachine o no le funcione, siga estos pasos para la eliminación del virus:
- Con un antivirus actualizado, localice todas las copias del virus en el ordenador. Si no dispone de antivirus, deberá adquirir un producto adecuado para OS X .
- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus.
Una vez que su ordenador está libre de virus, debido a que el espía recopila gran cantidad de información sensible, cambie todas sus contraseñas de acceso a todas sus cuentas, correo, redes sociales, cuentas bancarias... Modifique también la cuenta de administrador -root- de su equipo.
