MP3Virus.Gen, el primer caballo de Troya para Mac OS X
Posiblemente se trate del primer caballo de Troya diseñado especialmente
para Mac OS X, si bien los primeros informes han exagerado seguramente
su alcance real que no dejará de ser testimonial.
MP3Virus.Gen (o MP3Concept) es un caballo de Troya que se distribuye
dentro de los archivos de música en formato MP3, encapsulando su código
dentro de la marca ID3, un campo de la cabecera que habitualmente
contiene información como el título, artista, álbum…
El caballo
de Troya se distribuye con el aspecto de un archivo MP3 que tiene
asociado los atributos de recursos de aplicación. Adicionalmente, en el
campo ID3 del archivo MP3 se encuentra el código binario del caballo de
Troya.
Cuando el usuario realiza un doble clic sobre el archivo
MP3 que contiene el caballo de Troya, el sistema operativo identifica la
presencia de los atributos de recursos por lo que identifica el archivo
como una aplicación y la ejecuta (con los privilegios del usuario activo
en el sistema). Una parte del atributo de recursos se encarga de apuntar
al código incluido en el campo ID3, lo que permite su ejecución. A
continuación, mediante AppleEvent se ejecuta iTunes que empieza la
reproducción del archivo MP3 propiamente dicho.
Como el usuario
lo único que nota es que iTunes se ejecuta inmediatamente después de que
haya realizado doble clic sobre el archivo MP3, le pasa totalmente
desapercibida la ejecución propia del caballo de Troya incluido dentro
de ese mismo archivo.
La versión actual del caballo de Troya es
realmente benigna y no tiene ningún efecto pernicioso. De hecho, más que
un caballo de Troya en realidad podría considerarse una prueba de
concepto, ya que el único efecto es la visualización de un aviso al
usuario de que se trata de una aplicación. Si bien la versión actual no
tiene efectos destructivos, el mismo concepto puede utilizarse para
realizar acciones más drásticas.
La noticia inicial de la
existencia de este caballo de Troya ha originado la publicación de
diversos artículos donde se quita importancia a su existencia. No
obstante, lo importante de este caballo es su propia existencia.
En la actualidad, entre los usuarios de Mac OS X no existe la misma
cultura sobre seguridad que puede existir en los usuarios de otros
entornos. La práctica ausencia de virus, gusanos y otros productos de
malware en esta plataforma hace que muchos usuarios no apliquen las
mínimas medidas de seguridad y protección.
Muchos usuarios de Mac
OS X ni siquiera se han planteado la necesidad de disponer de un
programa antivirus con el pretexto de “no hay virus para Mac OS”.
La existencia de este caballo de Troya ha de servir para que los
usuarios de Mac OS sean conscientes que ningún producto de software es
invulnerable y carente de problemas de seguridad. La ausencia de malware
no ha de ser excusa para no aplicar las medidas básicas de protección ni
ignorar la necesidad de disponer de un antivirus convenientemente
actualizado ni un cortafuegos que proteja el sistema de las conexiones
entrantes y salientes no autorizadas.
Sin duda, la situación en
el entorno Mac OS X es mucho mejor que en el entorno Windows, donde
abundan todo tipo de gusanos y virus con efectos mucho más negativos.
Pero la propia existencia de este caballo de Troya demuestra que en el
entorno Macintosh también existen problemas de seguridad potenciales. Si
MP3Virus.Gen no hace nada destructivo, tal vez en pocos días (o semanas)
aparezcan otros troyanos con efectos mucho más destructivos.