Mac OS X: arriva il primo worm

Anche la mela più famosa al mondo, Apple Computer, comincia a subire i primi tentativi di attacco da parte dei virus writers. Alcune società specializzate nel settore della sicurezza informatica hanno isolato il primo vero worm per Mac OS X, chiamato OSX/LEap.A. Non è la prima volta che una notizia simile sale agli onori della cronaca: negli anni scorsi si sono verificati alcuni episodi simili, in seguito sfociati solamente in una grossa bolla di sapone.

Questa volta, però, la situazione pare essere leggermente differente. Il malware è stato inserito originariamente nel forum MacRumors, spacciandosi per uno screenshot del prossimo sistema operativo Mac OS X 10.5 "Leopard".

Secondo le informazioni disponibili, il worm (che pare funzionare solamente sui sistemi basati su processore PowerPC) si propaga attraverso iChat e infetta le applicazioni local installate nel Mac. Secondo le analisi, il worm circola in un archivio, chiamato "latestpics.tgz" che contiene l'eseguibile del worm, denominato latestpics, e il resource fork "._latestpics" che camuffa l'eseguibile facendolo passare per un'immagine JPEG.

Una volte eseguito il file latestpics, il worm cancella la sottocartella "apphook" della directory /Library/InputManagers/ - se eseguito con permessi root - o della directory ~/Library/InputManagers/ - se eseguito come utente non root.

Il worm rimpiazza poi la directory con i seguenti tre files:

apphook/Info
apphook/apphook.bundle/Contents/Info.plist
apphook/apphook.bundle/Contents/MacOS/apphook

Il worm è pronto per prendere controllo di iChat.Quando uno dei contatti presenti nella lista cambia stato, il worm inizializza un trasferimento file e manda all'utente una copia dell'archivio sopra nominato. Il trasferimento è invisibile all'utente.

Il worm in seguito ricerca, attraverso SpotLight, le applicazioni più utilizzate nell'ultimo mese, ne identifica l'eseguibile principale e lo sostituisce con sé stesso. Il file originale del programma viene salvato come fork avente lo stesso nome del file.

Quando l'applicazione viene lanciata, viene eseguito prima il worm e in seguito l'applicazione originale. I files infetti avranno questi attributi:

nome: oompa
valore: loompa

Il worm crea anche i seguenti files temporanei:

/tmp/pic.gz
/tmp/pic
/tmp/latestpics
/tmp/lastespics.tar
/tmp/lastespics.tar.gz
/tmp/lastespics.tgz

e molti files sotto la directory:

/tmp/apphook

Va comunque precisato che, trattandosi di un software che va ad installarsi nel sistema, LEap.A richiede la password di Amministratore qualora, ovviamente, non si stia lavorando con tali privilegi.

Anche il Mac, tanto lodato e ritenuto immune da ogni pericolo dagli adepti-fanboy del culto della mela, conoscerà i flagelli virulenti di windowsiana memoria? Difficile a dirsi. Certamente se il passaggio di Apple ai processori Intel e la politica commerciale molto aggressiva dovessero incrementare la diffusione dei sistemi Macintosh, non è da escludere che anche tali sistemi possano diventare un terreno di sfida per gli autori di maleware.

Intanto Apple ha già preso ufficialmente posizione a riguardo di LEap.A: secondo la compagnia di Cupertino, si legge in un comunicato, "Leap.A è un software maligno, ma non è un virus. Deve essere scaricato ed eseguito con la collaborazione dell'utente. In termini pratici si tratta di un programma che si maschera da file d'immagine per applicare i suoi effetti. Apple raccomanda i suoi utenti di accettare file da terze parti e da siti web che conoscono e di cui si fidano".

Per maggiori informazioni, l'analisi di F-Secure e di Sophos.