Apples Mac OS X har siden lanseringen vært oppsiktsvekkende fritt for virus, ormer og andre typer ondsinnet programvare.
Nå er det funnet et ondsinnet program funnet som spres fritt mellom Mac OS X-maskiner, noe som er første gang noensinne.
Flere antivirusselskaper, blant annet Sophos og Symantec, mener det snakk om både en orm og en trojaner. Den kalles av de fleste OSX/Leap-A eller tilsvarende og spres som et vedlegg til iChat-lynmeldinger.
Filen som sendes til kontaktene på de infiserte brukernes kontaktliste heter latestpics.tgz. Dette er et arkiv som består av en eksekverbar fil, latestpics, og en skjult fil, ._latestpics, som skjuler den eksekverbare filen som et JPEG-bilde.
Ifølge Sophos installerer OSX/Leap-A seg selv som en applikasjons-"hook" ved å slette underkatalogen "apphook" til enten /Library/InputManagers/-katalogen eller ~/Library/InputManagers/-katalogen. Hvilken underkatalog som slettes, avhenger av om ormen kjøres med root-privilegier eller ikke. I tillegg erstatter den de følgende tre filene:
apphook/Info
apphook/apphook.bundle/Contents/Info.plist
apphook/apphook.bundle/Contents/MacOS/apphook
OSX/Leap-A forsøker å infisere nylig brukte applikasjoner ved å erstatte originalapplikasjonen med en kopi av ormen, og ved å lagre den originale applikasjonen i filens ressursgren.
Infiserte applikasjonsfiler har den følgende utvidete attributten:
name: oompa
value: loompa
I tillegg oppretter ormen de følgende temporære filene:
/tmp/pic.gz
/tmp/pic
/tmp/latestpics
/tmp/lastespics.tar
/tmp/lastespics.tar.gz
/tmp/lastespics.tgz
og flere filer under /tmp/apphook
Det meste tyder på at det bare er 10.4.x-versjonene av Mac OS X som er i faresonen.
Ifølge News.com skal ormen har begynt å spre seg tidligere denne uken etter at den først ble postet i et forum for Mac-relaterte rykter. Filen fremsto da som en ekstern lenke som lovet tidlige skjermdumper fra den kommende Mac OS X 10.5, kjent som Leopard.
Selv om ormen automatisk forsøker å sende seg selv til iChat-kontaktene på et smittet system, skal det være opptil mottaren om filen vil lastes ned. Den vil heller ikke kunne starte av seg selv, men lokker brukeren til å åpne den ved at den gjemmer seg bak et ikon som normalt er reservert for bilder.
Symantec har publisert bilder hvordan ormen opptrer på denne siden .
Det er svært lite som tyder på at spredningen av OSX/Leap-A vil bli stor, men den er interessant fordi den viser at brukerne av Mac OS X ikke kan forventet at operativsystemet for all tid vil være en ”virus”-fri sone.
