Mac OS X: arriva il primo worm

Mac OS X: arriva il primo worm

Dopo anni di timidi tentativi, sembra ormai questione di tempo l'arrivo di virus informatici anche nell'ambiente operativo di Apple. Leap.A è il primo tentativo concreto

di pubblicata il , alle 14:23 nel canale Apple
AppleMac OS X
 

Anche la mela più famosa al mondo, Apple Computer, comincia a subire i primi tentativi di attacco da parte dei virus writers. Alcune società specializzate nel settore della sicurezza informatica hanno isolato il primo vero worm per Mac OS X, chiamato OSX/LEap.A. Non è la prima volta che una notizia simile sale agli onori della cronaca: negli anni scorsi si sono verificati alcuni episodi simili, in seguito sfociati solamente in una grossa bolla di sapone.

Questa volta, però, la situazione pare essere leggermente differente. Il malware è stato inserito originariamente nel forum MacRumors, spacciandosi per uno screenshot del prossimo sistema operativo Mac OS X 10.5 "Leopard".

Secondo le informazioni disponibili, il worm (che pare funzionare solamente sui sistemi basati su processore PowerPC) si propaga attraverso iChat e infetta le applicazioni local installate nel Mac. Secondo le analisi, il worm circola in un archivio, chiamato "latestpics.tgz" che contiene l'eseguibile del worm, denominato latestpics, e il resource fork "._latestpics" che camuffa l'eseguibile facendolo passare per un'immagine JPEG.

Una volte eseguito il file latestpics, il worm cancella la sottocartella "apphook" della directory /Library/InputManagers/ - se eseguito con permessi root - o della directory ~/Library/InputManagers/ - se eseguito come utente non root.

Il worm rimpiazza poi la directory con i seguenti tre files:

apphook/Info
apphook/apphook.bundle/Contents/Info.plist
apphook/apphook.bundle/Contents/MacOS/apphook

Il worm è pronto per prendere controllo di iChat.Quando uno dei contatti presenti nella lista cambia stato, il worm inizializza un trasferimento file e manda all'utente una copia dell'archivio sopra nominato. Il trasferimento è invisibile all'utente.

Il worm in seguito ricerca, attraverso SpotLight, le applicazioni più utilizzate nell'ultimo mese, ne identifica l'eseguibile principale e lo sostituisce con sé stesso. Il file originale del programma viene salvato come fork avente lo stesso nome del file.

Quando l'applicazione viene lanciata, viene eseguito prima il worm e in seguito l'applicazione originale. I files infetti avranno questi attributi:

nome: oompa
valore: loompa

Il worm crea anche i seguenti files temporanei:

/tmp/pic.gz
/tmp/pic
/tmp/latestpics
/tmp/lastespics.tar
/tmp/lastespics.tar.gz
/tmp/lastespics.tgz

e molti files sotto la directory:

/tmp/apphook

Va comunque precisato che, trattandosi di un software che va ad installarsi nel sistema, LEap.A richiede la password di Amministratore qualora, ovviamente, non si stia lavorando con tali privilegi.

Anche il Mac, tanto lodato e ritenuto immune da ogni pericolo dagli adepti-fanboy del culto della mela, conoscerà i flagelli virulenti di windowsiana memoria? Difficile a dirsi. Certamente se il passaggio di Apple ai processori Intel e la politica commerciale molto aggressiva dovessero incrementare la diffusione dei sistemi Macintosh, non è da escludere che anche tali sistemi possano diventare un terreno di sfida per gli autori di maleware.

Intanto Apple ha già preso ufficialmente posizione a riguardo di LEap.A: secondo la compagnia di Cupertino, si legge in un comunicato, "Leap.A è un software maligno, ma non è un virus. Deve essere scaricato ed eseguito con la collaborazione dell'utente. In termini pratici si tratta di un programma che si maschera da file d'immagine per applicare i suoi effetti. Apple raccomanda i suoi utenti di accettare file da terze parti e da siti web che conoscono e di cui si fidano".

Per maggiori informazioni, l'analisi di F-Secure e di Sophos.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

77 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Paganetor17 Febbraio 2006, 14:31 #1
benvenuti in the real world!

il prossimo sarà linux, mannaggia...

non si scappa: più un sistema si diffonde, più facilmente verrà "aggredito"...
ronthalas17 Febbraio 2006, 14:31 #2
in pratica ancora prima di fare danni mi resta bloccato dal fatto che mi deve chiedere la password... beh va bene ancora così allora.
lucusta17 Febbraio 2006, 14:38 #3
per ora hanno trovato questa strada, poi...
cagnaluia17 Febbraio 2006, 14:40 #4
ora si che è lecito parlare di vermi.....
cagnaluia17 Febbraio 2006, 14:43 #5
(winlike..osx..linux..) avete notato come da qualche anno a questa parte, per quanto siano malevoli questi virus/malware/trojan/worms... non facciano MAI danni seri o cmq così irreparabili?

Per la gioia delle VIRUS/antiVIRUS-house.
Leron17 Febbraio 2006, 14:43 #6
il nuovo logo di apple

http://www.ausl.bo.it/lisa/images/g...la%20bacata.gif





scherzi a parte, la notizia mi aveva spaventato dal titolo, poi ho letto che comunque serve la password di root: indi torno a lavorare tranquillamente
cagnaluia17 Febbraio 2006, 14:46 #7
Originariamente inviato da: Leron
scherzi a parte, la notizia mi aveva spaventato dal titolo, poi ho letto che comunque serve la password di root: indi torno a lavorare tranquillamente



come sempre... nessun problema.. ogni modifica "importante" del sistema è preceduta dalla richiesta di una password.. quella dell amministratore.
... e NON capita mai a caso.
naso17 Febbraio 2006, 14:54 #8
scusate.. ma che io sappia cmq anche nel modno win il 90% dei virus funzionano perchè qualcuno ci fa doppio click sopra... quindi nn capisco l'ultima frase dell'articolo... secono la mac nn è un virus xchè bisogna farci doppio click sopra!??!? anche i love you funionava esattamente così.. se nessuno ci faceva doppio click sopra nn succedeva assolutamente nulla... (io l'ho ricevuta quella mail... e nn mi è successo assolutamente nulla..)
Cimmo17 Febbraio 2006, 14:56 #9
Beh in Windows pero' non ti chiede la password di amministrazione, a meno che tu non sia account limitato, al 95% non lo e' nella realta'.
Michele8117 Febbraio 2006, 15:01 #10
Originariamente inviato da: Paganetor
non si scappa: più un sistema si diffonde, più facilmente verrà "aggredito"...


Diciamo che in Linux eventuali worms faranno molti meno danni (ne fa molti di più il bipede tra la sedia e la tastiera usando il so come root)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^