IM-Worm.Mac.Leap.a — червь для Mac OS X

Хоть мы и обнаруживали ранее вредоносные программы для Mac OS X, ни одной серьезной эпидемии на этой платформе еще не случалось. Вчера на форумах MacRumors появились сообщения об обнаружении нового троянца для Mac OS X. Нам удалось раздобыть образец этой программы и проанализировать ее функции.

IM-Worm.Mac.Leap.a является вредоносной программой для PowerPC, распространяемой в виде архива TAR-Gzip под названием latestpics.tgz. Как только архив открывается (простым двойным щелчком в оболочке Mac OS X), пользователь видит приложение под названием «latestpics» с размером 39596 байт. Выглядит это примерно так:

Запуск этого приложения приводит к активизации кода червя, который затем пытается заразить другие приложения на жестком диске и проникнуть на другие компьютеры посредством программы iChat. Заражение исполняемых файлов на диске происходит классическим образом: путем сохранения исходного кода программы в области данных и последующего перезаписывания его 39596 байтами вредоносного кода программы latestpics. Однако, судя по проведенным нами тестам, этот алгоритм не работает — зараженные приложения отказывались запускаться.

Червь использует особый метод перехвата управления при запуске какого-либо нового приложения: он сбрасывает расширение InputManager в папку ~Library/InputManagers системы Mac OS X в виде файла apphook размером 18884 байт. При старте какого-либо приложения автоматически запускается расширение apphook, которое и запускает процедуры заражения. Судя по всему, вирусописатель работал также над алгоритмами размножения посредством email, но эта часть червя не закончена. Возможно, она появится в будущих версиях Leap.

С переходом Apple на процессоры Intel и новой агрессивной ценовой политикой рост популярности Mac не только среди пользователей, но и среди вирусописателей был неизбежен. Весь наш опыт подсказывает нам, что то, что мы наблюдаем сейчас — это лишь начало.