OSX.Backdoor.Quimitchin

 

Nuestros pecados nos siguen, viejo malware para empezar el nuevo año, OSX.Backdoor.Quimitchin, ha conseguido ocultarse mas de tes años escondido en librerías obsoletas.

Desarrollado en Java y PERL, su código es tan enrevesado que ha logrado pasar desapercibido para el soft antimalware.

Instala una aplicación ubicada en en ~/.client y un LaunchAgent en ~/Library/LaunchAgents/com.client.client.plist que busca mantener la aplicación activada siempre. La eliminación de ambos archivos elimina el malware del Mac.

.client es capaz de sacar pantallazos, utilizar la cámara, e incluso realizar un control rudimentario sobre el ordenador además de intentar contactar y conectar con otros dispositivos de la red usando dos scripts de Perl cuyos nombres son macsvc y afpscan.

Borrar los 4 archivos es suficiente para eliminar el OSX.Backdoor.Quimitchin.

Otra solución alternativa consiste en bloquear la IP y el dominio al cual se conecta el programa malicioso, en este caso la IP 99.153.29.240, y el dominio eidk.hopto.org.

Como prevención podemos bloquear, sin estar infectados.

OSX.Backdoor.Quimitchin, los quimitchin eran espías aztecas que se infiltraban en otras tribus. Apple llama a este malware Fruitfly y ha lanzado una actualización que se descargará automáticamente para proteger futuras infecciones.

Configuración del código de OSX.Backdoor.Quimitchin:

 

<?xml version=»1.0″ encoding=»UTF-8″?>
<!DOCTYPE plist PUBLIC «-//Apple//DTD PLIST 1.0//EN» «http://www.apple.com/DTDs/PropertyList-1.0.dtd»>
<plist version=»1.0″>
<dict>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>com.client.client</string>
<key>ProgramArguments</key>
<array>
<string>/Users/xxxx/.client</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>NSUIElement</key>
<string>1</string>
</dict>
</plist>