Foi encontrado o primeiro vírus e worm para o sistema operacional Mac OS X. A praga foi divulgada em um tópico no fórum do site MacRumors no dia 13/02, prometendo screenshots do novo OS X 10.5 Leopard. Usuários de Mac, acostumados com a inexistência de código malicioso para a plataforma, executaram a praga sem desconfiar de nada.

Batizado de OSX/Leap-A e classificado como um worm, ele se espalha utilizando o cliente de mensagem instantânea iChat, da Apple. O arquivo lastespics.tgz, que é um arquivo compactado da mesma forma que arquivos ZIP, é enviado aos contatos do usuário infectado.

Ao extrair os arquivos, o usuário se depara com o que parece um arquivo JPEG, que seria a figura contendo a screenshot do novo sistema da Apple. Ao tentar abrir a “figura”, no entanto, o usuário vê uma janela de terminal, mostrando que o arquivo é na verdade um programa e não uma imagem.

O worm então apaga os arquivos da pasta ~/Library/InputManagers/apphook/ e cria novos arquivos com informações especificadas pela praga:

• ~/Library/InputManagers/apphook/apphook.bundle/Contents/MacOS
• ~/Library/InputManagers/apphook/apphook.bundle/Contents/Info.plist
• ~/Library/InputManagers/apphook/Info

Esses arquivos fazem com que o OSX.Leap.A seja iniciado junto com todos os aplicativos executados no sistema. Se o worm for executado com acesso root, a pasta /Library/InputManagers será usada.

O worm também é um vírus. Ele busca os 4 programas executados mais recentemente que não necessitam de acesso root usando o Spotlight e os infecta, fazendo com que esses programas também possam infectar um sistema com o vírus/worm.

A praga possui dois bugs graves: os programas infectados podem ser danificados e incapazes de serem executados e, em alguns sistemas, o worm não será capaz de se espalhar usando o iChat.

O vírus não explora nenhuma falha no sistema da Apple. Foram utilizados apenas recursos do OS X, provando que todo sistema programável pode ser usado de forma maliciosa, independente do sistema operacional. O worm também não necessita de acesso root para infectar o sistema e se espalhar.

O OSX.Leap.A recebeu os títulos de “primeiro worm” e “primeiro vírus” para OS X. Além do Leap.A, existe somente um código malicioso para o OS X, o cavalo-de-tróia Opener.

É quase certo que este worm, como o Opener, não seja encontrado em uma proporção significativa na Internet, já que, além da existência de bugs que podem proibí-lo de se espalhar, o Mac OS X é usado por poucos usuários em comparação com o Windows, reduzindo o número de possíveis vítimas.

Links Relacionados

Todos os links estão em inglês.

• OSX/Leap-A (Informações da Sophos sobre a praga)
• OSX.Leap.A (Informações da Symantec sobre o worm)
• SH/Renepo-A (Opener — primeiro trojan para OS X)

Compartilhar |  Imprimir

21 comentários | Vírus & Exploits