Mac OS X: arriva il primo worm

Marco Giuliani

“Dopo anni di timidi tentativi, sembra ormai questione di tempo l'arrivo di virus informatici anche nell'ambiente operativo di Apple. Leap.A è il primo tentativo concreto”

Anche la mela più famosa al mondo, Apple Computer, comincia a subire i primi tentativi di attacco da parte dei virus writers. Alcune società specializzate nel settore della sicurezza informatica hanno isolato il primo vero worm per Mac OS X, chiamato OSX/LEap.A. Non è la prima volta che una notizia simile sale agli onori della cronaca: negli anni scorsi si sono verificati alcuni episodi simili, in seguito sfociati solamente in una grossa bolla di sapone.

Questa volta, però, la situazione pare essere leggermente differente. Il malware è stato inserito originariamente nel forum MacRumors, spacciandosi per uno screenshot del prossimo sistema operativo Mac OS X 10.5 "Leopard".

Secondo le informazioni disponibili, il worm (che pare funzionare solamente sui sistemi basati su processore PowerPC) si propaga attraverso iChat e infetta le applicazioni local installate nel Mac. Secondo le analisi, il worm circola in un archivio, chiamato "latestpics.tgz" che contiene l'eseguibile del worm, denominato latestpics, e il resource fork "._latestpics" che camuffa l'eseguibile facendolo passare per un'immagine JPEG.

Una volte eseguito il file latestpics, il worm cancella la sottocartella "apphook" della directory /Library/InputManagers/ - se eseguito con permessi root - o della directory ~/Library/InputManagers/ - se eseguito come utente non root.

Il worm rimpiazza poi la directory con i seguenti tre files:

apphook/Info
apphook/apphook.bundle/Contents/Info.plist
apphook/apphook.bundle/Contents/MacOS/apphook

Il worm è pronto per prendere controllo di iChat.Quando uno dei contatti presenti nella lista cambia stato, il worm inizializza un trasferimento file e manda all'utente una copia dell'archivio sopra nominato. Il trasferimento è invisibile all'utente.

Il worm in seguito ricerca, attraverso SpotLight, le applicazioni più utilizzate nell'ultimo mese, ne identifica l'eseguibile principale e lo sostituisce con sé stesso. Il file originale del programma viene salvato come fork avente lo stesso nome del file.

Quando l'applicazione viene lanciata, viene eseguito prima il worm e in seguito l'applicazione originale. I files infetti avranno questi attributi:

nome: oompa
valore: loompa

Il worm crea anche i seguenti files temporanei:

/tmp/pic.gz
/tmp/pic
/tmp/latestpics
/tmp/lastespics.tar
/tmp/lastespics.tar.gz
/tmp/lastespics.tgz

e molti files sotto la directory:

/tmp/apphook

Va comunque precisato che, trattandosi di un software che va ad installarsi nel sistema, LEap.A richiede la password di Amministratore qualora, ovviamente, non si stia lavorando con tali privilegi.

Anche il Mac, tanto lodato e ritenuto immune da ogni pericolo dagli adepti-fanboy del culto della mela, conoscerà i flagelli virulenti di windowsiana memoria? Difficile a dirsi. Certamente se il passaggio di Apple ai processori Intel e la politica commerciale molto aggressiva dovessero incrementare la diffusione dei sistemi Macintosh, non è da escludere che anche tali sistemi possano diventare un terreno di sfida per gli autori di maleware.

Intanto Apple ha già preso ufficialmente posizione a riguardo di LEap.A: secondo la compagnia di Cupertino, si legge in un comunicato, "Leap.A è un software maligno, ma non è un virus. Deve essere scaricato ed eseguito con la collaborazione dell'utente. In termini pratici si tratta di un programma che si maschera da file d'immagine per applicare i suoi effetti. Apple raccomanda i suoi utenti di accettare file da terze parti e da siti web che conoscono e di cui si fidano".

nuovo logo del Mac

---

Scritto da: 666 18/02/2006 8.42
Deve essere scaricato ed eseguito con la collaborazione dell'utente. In termini pratici si tratta di un programma che si maschera da file d'immagine per applicare i suoi effetti. Apple raccomanda i suoi utenti di accettare file da terze parti e da siti web che conoscono e di cui si fidano".

---

Traducendo:
X poter essere installato tu devi dargli la kiave di root,e cioè essere tnt intelligente da sapere qll ke fai...Insomma,solo Penics riuscirebbe ad installarlo



Eddicono ke gli Unix sono vulnerabili come il Wiru$ a pagamento

---

Scritto da: 666 18/02/2006 8.47
nuovo logo del Mac

---

---

Scritto da: g 18/02/2006 9.31
Traducendo:
X poter essere installato tu devi dargli la kiave di root,e cioè essere tnt intelligente da sapere qll ke fai...Insomma,solo Penics riuscirebbe ad installarlo



Eddicono ke gli Unix sono vulnerabili come il Wiru$ a pagamento

---

tu sopravvaluti troppo l'utente medio

---

Scritto da: 666 18/02/2006 13.14


tu sopravvaluti troppo l'utente medio

---

Ma peggio del Mac-kista Penics?
Naaa

Tutti gli utilizzatori del Mac che conosco dall'alto del loro piedistallo sono stra sicuri che hanno un sistema a prova di bomba, prevedo disastri x il futuro

---

Scritto da: 666 18/02/2006 13.24
Tutti gli utilizzatori del Mac che conosco dall'alto del loro piedistallo sono stra sicuri che hanno un sistema a prova di bomba, prevedo disastri x il futuro

---

MA se 1 nn sta attento può rendere attaccabile anke il Linux?

solo questione di diffusione

---

Scritto da: 666 18/02/2006 13.34
solo questione di diffusione

---

Diffusione x avere diffusione del virus,ma l'effetto s'avrà solo sulle makkine della gente sprovveduta,ki abbia 1 minimo di consapevolezza e dice di no nn avrà problemi

quello già succede con winzozz

---

Scritto da: 666 18/02/2006 13.14


tu sopravvaluti troppo l'utente medio

---

---

Scritto da: PhoeniXXX 19/02/2006 12.54

---

Nn ti pqp,si parla di utente medio,tu nn c'entri,Penico

---

Scritto da: PhoeniXXX 19/02/2006 12.54

---