Este troyano se llama Booanana.A, cuya peculiaridad es que utiliza las redes sociales, al igual que Koobface, como medio de propagación.
En Securemac.com han realizado un estudio del funcionamiento de Booanana.A, el cual trataremos de explicar brevemente en este artículo.
La primera vía de infección de Booanana.A es a través de redes sociales mediante el envío de mensajes tales como ‘¿Eres tú el de este vídeo? / Is this you in this video?’ o similares, enlazando el vídeo con una URL que apunta una dirección web externa.
Una vez se accede a dicha página aparecerá un cuadro de diálogo de alerta pidiendo realizar la instalación de un applet Java cuya firma digital, por supuesto, no puede ser comprobada contra una de las unidades de certificación de confianza.
Una vez aceptada la instalación del applet, se mostrará una interfaz similar a la de youtube en donde se verá una foto aleatoria carga desde el dominio ‘hotornot.com’. En este momento ya se tiene el virus instalado en el sistema operativo del equipo, concretamente en la carpeta oculta ‘.jnana’ del directorio $HOME del usuario. Según las pruebas realizadas por ‘securemac.com’, parece ser que este malware es un bot para convertir en zombie la máquina y crear una botnet, ya que, tras la instalación, Booanana.A se comunica con un panel de control para recibir las ordenes.
Para desinfectar de Booanana.A de un equipo basta con seguir estos pasos que parará la ejecución del applet de la máquina y eliminará todos los ficheros copiados y creado por el troyano:
launchctl unload -w ~/Library/LaunchAgents/jnana.
killall java
sudo rm -rf ~/.jnana/
sudo rm -rf /Library/StartupItems/
sudo rm -rf /var/root/.jnana/
sudo rm -rf ~/Library/LaunchAgents/jnana.
Para finalizar, será necesario restaurar el fichero de /etc/sudoers, ya que es modificado por Boonana.A para ejecutar cualquier comando con permisos de root.
Medidas básicas de protección contra malware
Como medidas generales de protección personal contra este tipo de amenazas, intenta mantener todo tu software actualizado, no utilices la cuenta de root o alguna con permisos administrativos para navegar por Internet, no sigas enlaces de procedencia dudosa y procura tener instalado un antivirus con protección en tiempo real para detectar comportamientos anómalos de software malicioso en tu equipo.
Via: Seguridad Apple
