OSX.Backdoor.Quimitchin

 

Nuestros pecados nos siguen, viejo malware para empezar el nuevo año, OSX.Backdoor.Quimitchin, ha conseguido ocultarse mas de tes años escondido en librerías obsoletas.

Desarrollado en Java y PERL, su código es tan enrevesado que ha logrado pasar desapercibido para el soft antimalware.

Instala una aplicación ubicada en en ~/.client y un LaunchAgent en ~/Library/LaunchAgents/com.client.client.plist que busca mantener la aplicación activada siempre. La eliminación de ambos archivos elimina el malware del Mac.

.client es capaz de sacar pantallazos, utilizar la cámara, e incluso realizar un control rudimentario sobre el ordenador además de intentar contactar y conectar con otros dispositivos de la red usando dos scripts de Perl cuyos nombres son macsvc y afpscan.

Borrar los 4 archivos es suficiente para eliminar el OSX.Backdoor.Quimitchin.

Otra solución alternativa consiste en bloquear la IP y el dominio al cual se conecta el programa malicioso, en este caso la IP 99.153.29.240, y el dominio eidk.hopto.org.

Como prevención podemos bloquear, sin estar infectados.

OSX.Backdoor.Quimitchin, los quimitchin eran espías aztecas que se infiltraban en otras tribus. Apple llama a este malware Fruitfly y ha lanzado una actualización que se descargará automáticamente para proteger futuras infecciones.

Configuración del código de OSX.Backdoor.Quimitchin:

<?xml version=”1.0″ encoding=”UTF-8″?>

<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”>

<plist version=”1.0″>

<dict>

 <key>KeepAlive</key>

 <true/>

 <key>Label</key>

 <string>com.client.client</string>

 <key>ProgramArguments</key>

 <array>

 <string>/Users/xxxx/.client</string>

 </array>

 <key>RunAtLoad</key>

 <true/>

 <key>NSUIElement</key>

 <string>1</string>

</dict>

</plist>