OpinionSpy, un nuevo spyware para Mac OS X

This post was published 9 years ago. It may be exremely outdated.

Vía Genbeta descubro que ayer la compañía Intego (dedicada a la seguridad de Mac OS X) ha descubierto un peligroso spyware para Mac OS X: OpinionSpy (una variante para Mac OS X de un spyware que lleva existiendo para Windows desde 2008). Este spyware se descarga durante el proceso de instalación de algunas aplicaciones gratuitas de sitios como Softpedia, MacUpdate o VersionTracker. Concretamente, la aplicación MishInc FLV To Mp3 y diversos salvapantallas de 7art.

Además de escanear los archivos y las carpetas del equipo, el spyware envía información encriptada (de momento no sé sabe exactamente qué es lo que envía) a servidores externos. También inyecta código en algunas aplicaciones, como Firefox, Safari o iChat cuando están funcionando, infectando la memoria y no los archivos del disco duro; graba la actividad del usuario y crea un acceso a los Macs infectados.

El software espía en sí no está incluido en esas aplicaciones, pero se descarga durante el proceso de instalación y se instala simulando ser un programa de estudio de mercado (se le debe dar una contraseña de administrador durante el proceso de instalación para que se instale). Las versiones de estas aplicaciones que se distribuyen en las páginas de los autores están ausentes de este mensaje.

Para saber si estamos infectados basta con abrir una ventana de Terminal y escribir:

netstat -an -f inet | fgrep 8254
Comprobando si estamos infectados

Comprobando si estamos infectados

Este comando devuelve las conexiones al puerto indicado al final del mismo, de modo que si al ejecutar el comando no muestra nada, el puerto está cerrado. Si por el contrario mostrase algo, seguramente estaríamos infectados. En la imagen de la izquierda podéis ver el resultado del comando en mi MacBook Pro. Al revisar el puerto 8254, se ve que no está abierto (no he instalado ninguna aplicación descargada desde las páginas que he mencionado arriba, así que no hay ningún motivo para que esté infectado). Al probar sobre el puerto 8888 se ve que está abierto (debido a que estoy ejecutando un servidor local, aunque esto no viene al caso). Otro modo de detectarlo en abrir el Monitor de Actividad y buscar un proceso llamado Opinion. Si aparece, estaríamos infectados.

Si resultase que estuviéramos infectados, para poder eliminarlo (sin usar el antivirus de Intego) deberíamos buscar en Spotlight PremierOpinion (ojo, es posible que este nombre cambie más adelante en nuevas variantes del spyware) y una vez lo hayamos encontrado, eliminamos la carpeta que lo contiene arrastrándola a la papelera y vaciándola. Tras reiniciar el equipo no debería volver a aparecer el proceso y deberíamos estar totalmente seguros de nuevo.

Instalar Firefox en Mac OS X

Instalar Firefox en Mac

A pesar de ser un spyware bastante peligroso, es relativamente fácil no infectarse, teniendo en cuenta que la mayoría de las aplicaciones para Mac OS X se instalan arrastrando un archivo a la carpeta de Aplicaciones (proceso en el cual no hay que introducir ninguna contraseña de administrador) y que tan sólo algunas aplicaciones (como Final Cut Studio, Adobe Creative Suite, Xcode, Microsoft Office, etc; o videojuegos como Los Sims 3 o Spore, etc) tienen un instalador propio y requieren contraseña de administrador.

Y es que el tema de la seguridad es más algo de sentido común que de software antivirus. Al fin y al cabo, ¿le daríamos las llaves de nuestras casas a un completo desconocido? Quizás el mejor antivirus de todos sea algo de sentido común y buen juicio.

Leave a Reply