MP3Virus.Gen, el primer caballo de Troya para Mac OS X

MP3Virus.Gen (o MP3Concept) es un caballo de Troya que se distribuye

dentro de los archivos de música en formato MP3, encapsulando su código

dentro de la marca ID3, un campo de la cabecera que habitualmente

contiene información como el título, artista, álbum…

El caballo

de Troya se distribuye con el aspecto de un archivo MP3 que tiene

asociado los atributos de recursos de aplicación. Adicionalmente, en el

campo ID3 del archivo MP3 se encuentra el código binario del caballo de

Troya.

Cuando el usuario realiza un doble clic sobre el archivo

MP3 que contiene el caballo de Troya, el sistema operativo identifica la

presencia de los atributos de recursos por lo que identifica el archivo

como una aplicación y la ejecuta (con los privilegios del usuario activo

en el sistema). Una parte del atributo de recursos se encarga de apuntar

al código incluido en el campo ID3, lo que permite su ejecución. A

continuación, mediante AppleEvent se ejecuta iTunes que empieza la

reproducción del archivo MP3 propiamente dicho.

Como el usuario

lo único que nota es que iTunes se ejecuta inmediatamente después de que

haya realizado doble clic sobre el archivo MP3, le pasa totalmente

desapercibida la ejecución propia del caballo de Troya incluido dentro

de ese mismo archivo.

La versión actual del caballo de Troya es

realmente benigna y no tiene ningún efecto pernicioso. De hecho, más que

un caballo de Troya en realidad podría considerarse una prueba de

concepto, ya que el único efecto es la visualización de un aviso al

usuario de que se trata de una aplicación. Si bien la versión actual no

tiene efectos destructivos, el mismo concepto puede utilizarse para

realizar acciones más drásticas.

La noticia inicial de la

existencia de este caballo de Troya ha originado la publicación de

diversos artículos donde se quita importancia a su existencia. No

obstante, lo importante de este caballo es su propia existencia.

En la actualidad, entre los usuarios de Mac OS X no existe la misma

cultura sobre seguridad que puede existir en los usuarios de otros

entornos. La práctica ausencia de virus, gusanos y otros productos de

malware en esta plataforma hace que muchos usuarios no apliquen las

mínimas medidas de seguridad y protección.

Muchos usuarios de Mac

OS X ni siquiera se han planteado la necesidad de disponer de un

programa antivirus con el pretexto de “no hay virus para Mac OS”.

La existencia de este caballo de Troya ha de servir para que los

usuarios de Mac OS sean conscientes que ningún producto de software es

invulnerable y carente de problemas de seguridad. La ausencia de malware

no ha de ser excusa para no aplicar las medidas básicas de protección ni

ignorar la necesidad de disponer de un antivirus convenientemente

actualizado ni un cortafuegos que proteja el sistema de las conexiones

entrantes y salientes no autorizadas.

Sin duda, la situación en

el entorno Mac OS X es mucho mejor que en el entorno Windows, donde

abundan todo tipo de gusanos y virus con efectos mucho más negativos.

Pero la propia existencia de este caballo de Troya demuestra que en el

entorno Macintosh también existen problemas de seguridad potenciales. Si

MP3Virus.Gen no hace nada destructivo, tal vez en pocos días (o semanas)

aparezcan otros troyanos con efectos mucho más destructivos.