Schädling für Mac OS X in Umlauf
Es ist ein Wurm, der sich über Instant Messaging verbreitet.
Ein Schädling namens "OSX/Leap", der Dateien infiziert und sich Wurm-artig über Instant Messenger verbreitet, ist der erste bekannt gewordene Schädling, der auf Apples Betriebssystem Mac OS X spezialisiert ist und sich selbst verbreitet. Zwar gab es nach Angaben von Kaspersky Labs bereits zuvor Versuche in dieser Richtung, diese waren jedoch offenbar nicht erfolgreich genug, um wahrgenommen zu werden.
Die Neuentdeckung erhält vom Projekt Common Malware Enumeration (http://cme.mitre.org/data/list.html) die Bezeichnung "CME-4", die meisten Antivirus-Hersteller verwenden Variationen aus "OSX" und "Leap", zum Beispiel OSX/Leap (McAfee), OSX/Leap-A (Sophos) oder OSX.Leap.A (Symantec). Der Wurm tauchte zuerst in Form eines externen Links in einem Mac-Forum auf, die entsprechenden Beiträge wurden mittlerweile entfernt.
OSX/Leap wird als komprimierte Archivdatei "latestpics.tgz" (40.893 Bytes) in Umlauf gebracht. In der begleitenden Mitteilung im Forum hieß es, das seien Bilder der kommenden Version von Mac OS X 10.5 ("Leopard"). Wer die Datei auf seinen Mac lädt und per Doppelklick entpackt, erhält eine 39.596 Byte große Anwendung namens "latestpics". Sie erscheint auf den ersten Blick als Bilddatei im JPEG-Format.
Wird sie gestartet, öffnet sich ein Terminal-Fenster, in dem das Kommandozeilenprogramm ausgeführt wird und die Meldung "Welcome to Darwin!" anzeigt. Der Schädling legt eine Reihe von Dateien in /tmp an und löscht alle Dateien in ~/Library/InputManagers. Es kopiert dann die Programmdatei /tmp/apphook nach ~/Library/InputManagers/apphook/apphook.bundle/Contents/MacOS, wodurch apphook mit jedem Aufruf eines Programms gestartet wird.
Mit Hilfe des Programms Spotlight sucht OSX/Leap nach den vier im aktuellen Monat zuletzt benutzten Anwendungen, die keine Admin-Rechte erfordern. In deren Dateien sucht es nach dem Dateiattribut "oompa". Ist es nicht vorhanden, infiziert OSX/Leap die Datei. Dazu kopiert es deren ausführbaren Teil aus dem Datenzweig in den Ressourcen-Zweig der Datei und setzt sich selbst in den Datenzweig. Dann erstellt es das Attribut "oompa" und setzt es auf den Wert "loompa". So erkennt OSX/Leap später, dass die Datei bereits infiziert ist.
Jedes Mal, wenn der Instant Messenger "iChat" gestartet wird, sendet OSX/Leap eine Kopie der Datei "latestpics.tgz" an alle gespeicherten Kontakte. Die Empfänger der Datei sind nur gefährdet, wenn sie die Datei speichern, auspacken und ausführen. Admin-Rechte sind nicht unbedingt erforderlich.
Die Viren-Spezialisten verschiedener Antivirus-Hersteller haben ferner unfertigen Code zur Verbreitung per Mail in dem Schädling entdeckt. Möglicherweise taucht also bald eine neue Variante von OSX/Leap auf, die sich per Mail ausbreitet.
