Første Mac OS X-orm i spredning

For første gang skal en Internett-orm spres mellom maskiner med Apples nyeste operativsystem.

Apples Mac OS X har siden lanseringen vært oppsiktsvekkende fritt for virus, ormer og andre typer ondsinnet programvare.

Nå er det funnet et ondsinnet program funnet som spres fritt mellom Mac OS X-maskiner, noe som er første gang noensinne.

Flere antivirusselskaper, blant annet Sophos og Symantec, mener det snakk om både en orm og en trojaner. Den kalles av de fleste OSX/Leap-A eller tilsvarende og spres som et vedlegg til iChat-lynmeldinger.

Filen som sendes til kontaktene på de infiserte brukernes kontaktliste heter latestpics.tgz. Dette er et arkiv som består av en eksekverbar fil, latestpics, og en skjult fil, ._latestpics, som skjuler den eksekverbare filen som et JPEG-bilde.

Ifølge Sophos installerer OSX/Leap-A seg selv som en applikasjons-"hook" ved å slette underkatalogen "apphook" til enten /Library/InputManagers/-katalogen eller ~/Library/InputManagers/-katalogen. Hvilken underkatalog som slettes, avhenger av om ormen kjøres med root-privilegier eller ikke. I tillegg erstatter den de følgende tre filene:

apphook/Info

apphook/apphook.bundle/Contents/Info.plist

apphook/apphook.bundle/Contents/MacOS/apphook

OSX/Leap-A forsøker å infisere nylig brukte applikasjoner ved å erstatte originalapplikasjonen med en kopi av ormen, og ved å lagre den originale applikasjonen i filens ressursgren.

Infiserte applikasjonsfiler har den følgende utvidete attributten:

name: oompa

value: loompa

I tillegg oppretter ormen de følgende temporære filene:

/tmp/pic.gz

/tmp/pic

/tmp/latestpics

/tmp/lastespics.tar

/tmp/lastespics.tar.gz

/tmp/lastespics.tgz

og flere filer under /tmp/apphook

Det meste tyder på at det bare er 10.4.x-versjonene av Mac OS X som er i faresonen.

Ifølge News.com skal ormen har begynt å spre seg tidligere denne uken etter at den først ble postet i et forum for Mac-relaterte rykter. Filen fremsto da som en ekstern lenke som lovet tidlige skjermdumper fra den kommende Mac OS X 10.5, kjent som Leopard.

Selv om ormen automatisk forsøker å sende seg selv til iChat-kontaktene på et smittet system, skal det være opptil mottaren om filen vil lastes ned. Den vil heller ikke kunne starte av seg selv, men lokker brukeren til å åpne den ved at den gjemmer seg bak et ikon som normalt er reservert for bilder.

Symantec har publisert bilder hvordan ormen opptrer på denne siden .

Det er svært lite som tyder på at spredningen av OSX/Leap-A vil bli stor, men den er interessant fordi den viser at brukerne av Mac OS X ikke kan forventet at operativsystemet for all tid vil være en ”virus”-fri sone.

Til toppen