Ahí que instalar un antivirus en Mac?

Deploying Sophos Anti-Virus Home Edition for Mac 9.2.x for ...

Es una pregunta habitual: ¿qué antivirus usáis para el Mac? La respuesta es muy sencilla: no usamos ningún antivirus, porque de momento no hay virus. Olvídate de los odiosos antivirus.

Puede que hayáis leído por ahí en alguna revista a alguien diciendo de manera errónea que se ha «descubierto» un virus para Mac, o inluso recomendando el mejor antivirus, pero creednos, no hay virus en el Mac.

Mac OS X está diseñado desde el primer momento con la seguridad en mente. Un posible virus ¡te pediría tu contraseña de seguridad para poder instalarse! Las dificultades técnicas y el menor número de posibles víctimas hace que los creadores de virus no tengan tanto interés en el Mac.

Sí que estás expuesto, por ejemplo, a que te llegue uno de esos emails que dicen que tienes que actualizar tus datos bancarios, dar tu contraseña de Messenger, etc. De recibir este tipo de email de ingeniería social no está exento nadie, pero con tener sentido común, estamos totalmente protegidos.

Nosotros, nuestros amigos, y nuestros familiares, llevamos muchos años usando Macs, y nunca hemos oído a nadie ni un solo problema referente a virus, troyanos, spyware ni nada parecido. Cuando te pases a Mac, te olvidarás de la pesadilla constante, de comprar antivirus, de tenerlo actualizado, etc.

Eso sí, de cara al futuro nunca está de más recordar ciertas cosas de sentido común: no instales programas obtenidos de sitios dudosos, no abras archivos adjuntos extraños, etc.

MacSur reparación de iMac, iPhone, Mac mini, MacBook Pro, tarjetas gráficas. llevamos mas de 1000 reparaciones.

,

Alerta de seguridad: Troyano de mlrmedia y macdownloadfiles.

Hace unos días hablamos en faq-mac del problema que suponen los troyanos relacionados con el adware. Periódicamente aparecen nuevas «campañas» intentado infectar a los usuarios con este tipo de software malicioso y durante este fin de semana parece ser que se ha puesto en marcha una de esas campañas.

El problema aparece casi siempre cuando te acercas a una página de descargas de contenidos dudosos y la inyección se realiza a través de la modificación del código de esa página detectando que tu navegador pertenece al Mac o a través de un banner construido maliciosamente.

Inmediatamente eres redirigido a una página y se empieza descargar de forma automática una imagen dmg llamada mplayerX.dmg. No hay que confundir esta imagen con el software legal y legítimo mplayer, un extraordinario software OpenSource para la reproducción de películas cuyo dominio es mplayerx.org.
Esta es la imagen de la web falsa, que hace referencia a un dominio llamado www.macfilesdownload.com

El troyano descargado es del tipo adware, insertando diferentes extensiones en el navegador y varios elementos para que Launchd los ejecute al iniciar sesión. Es del tipoVidX y la estructura de trabajo es muy similar.

El dominio asociado a este troyano es mrlmedia.net, cuyo whois está protegido pero del que hay múltiples referencias en internet como dominio asociado a troyanos de adware.
Al abrir la imagen dmg el instalador te solicitará la contraseña de administrador al ejecutarlo. NO LO HAGAS. No instales el software. Tira inmediatamente la imagen mplayerX a la Papelera y vacíala.media+trojan&spell=1

VidX, te han colado un troyano

En el mundo Mac no hay tanto malware como para Windows, pero es de idiotas negar la evidencia de que sí, existe. Los usuarios menos experimentados pueden ser engañados de diferentes formas para acabar instalando troyanos de todo tipo y este es el caso de VidX, un troyano también conocido como DownLite.
Bajo cualquiera de estos dos nombres (e incluso, alguno más) este troyano se instala utilizando ingeniería social, haciendo pensar al usuario que está instalando un códec especial de vídeo o un programa «ligero» para descargar torrents. Para empezar, y al respecto del vídeo, debes saber una cosa: existe un Consejo Negro al respecto de las películas pirateadas que decide que formato se va a utilizar de forma que sea lo más accesible para la gente (ya que en la accesibilidad de los contenidos se encuentra su modelo de negocio, que pueda ser visto por la mayor cantidad de gente y obtener así muchas impresiones publicitarias) por lo que jamás utilizan códecs propietarios de ningún tipo. A lo largo de estos últimos años han huido, incluso, de DivX para saltar a H.264. Pero esta es otra historia y tenemos que volver sobre el troyano.
Este troyano tiene la particularidad, además, de que está compilado usando las herramientas de Apple e incluye la firma de código de un desarrollador certificado de Apple. Evidentemente, este desarrollador será falso (y estará pagado con una tarjeta de crédito robada) por lo que Gatekeeper, el sistema de filtrado de aplicaciones de Apple, es incapaz de deshabilitarlo e impedir su instalación. Apple aparentemente no ha hecho nada al respecto cuando ese desarrollador y su certificado debería estar revocado hace mucho tiempo. El problema es que una vez revocado, posiblemente se creará otro desarrollador falso y se seguirá distribuyendo el troyano bajo un nuevo certificado. Deberes para Apple, que tiene que cambiar la forma en la que gestiona la veracidad de las cuentas para desarrolladores que se dan de alta.
Este troyano está pensado para sobrecargar al usuario con publicidad y tiene una arquitectura que incluye extensiones para diferentes navegadores, una carpeta con archivos de soporte y varios Agents y Daemons. Al respecto de estos procesos y archivos tienes este tutorial de faq-mac para aprender más.
Hay un orden específico para la eliminación de todos estos archivos. El proceso es hacer triple clic en cada una de las rutas que van a continuación, invocar el menú contextual y en Servicios elegir «mostrar en el Finder»:
/Library/Application Support/VSearch
/Library/LaunchAgents/com.vsearch.agent.plist
/Library/LaunchDaemons/com.vsearch.daemon.plist
/Library/LaunchDaemons/com.vsearch.helper.plist
/Library/LaunchDaemons/Jack.plist
/Library/PrivilegedHelperTools/Jack
/System/Library/Frameworks/VSearch.framework
Elimina todos estos archivos, si existen, enviándolos a la Papelera, pero no la vacíes todavía. Es posible que necesites utilizar la contraseña del administrador.
A continuación abre Safari, Chrome y Firefox y desinstala las correspondientes extensiones. En Safari es a través de Preferencias > Extensiones. Elimina las que no necesites y aquellas que lleven en la descripción la palabra Spigot o estén relacionadas directamente con VidX o DownLite. Si no estás seguro, restaura completamente el navegador. Exactamente lo mismo tanto para Chrome como para Firefox.
Vacía la Papelera ahora. Si no te deja, reinicia y vacía la Papelera.
SI crees que tienes problemas con Troyanos (y causas justificadas para pensarlo) puedes dejar un post en los foros o visitar The Safe Mac, que incluye interesantes recursos contra malware y Adware para Mac. (inglés)

,

Los usuarios chinos de Mac e iOS amenazados por WireLurker

La empresa de seguridad Palo Alto Networks ha descubierto un nuevo malware para dispositivos Mac e iOS sin jailbroken. El vector de infección varía frente a otros métodos: el malware se instala en un Mac y cuando el dispositivo iOS se conecta a ese Mac lo infecta. Los usuarios afectados por este malware se encuentran en China.
Este método, sin embargo, requiere de la aprobación del usuario ya que al conectar un dispositivo iOS a un Mac o cualquier otro ordenador, iOS pregunta si ese ordenador es «confiable». Si el usuario marca que no lo es, no permite la transmisión de datos con el ordenador, limitándose a cargar el dispositivo.
Wirelurker se ha estado distribuyendo desde la Maiyadi App Store, una tienda de software que opera en China. Hasta aproximadamente 400 aplicaciones han sido infectadas con este malware que han sido descargadas unas 356.000 veces en total. Una vez infectado el dispositivo iOS, Wirelurker es capaz de leer los mensajes del usuario, descargar actualizaciones en segundo plano para aumentar las capacidades del malware sin la intervención directa del usuario.
Palo Alto Networks ya ha informado a Apple de este problema. De nuevo, la medida de seguridad para protegerse de estos problemas es sólo utilizar software de fuentes seguras, como la Mac App Store o tiendas confiables además de las descargas de los propios desarrolladores.