Sembra che anche gli utenti MacOs X siano stati elargiti di quel meraviglioso dono del mondo Windows chiamato Virus. Certe cose sono semplicemente troppo belle per non essere esportate=].
Nella notte del 13 Febbraio un utente non registrato ha postato sul forum di MacRumors un link ad un file che dichiarava di contenere gli ultimi screenshot in anteprima di Leopard Mac OS X 10.5. Il file aveva nome “latestpics.tgz” e il rumor aveva come ovvia intenzione quella di attirare i curiosi verso informazioni su una revisione del sistema operativo che non è ancora in possesso nemmeno degli sviluppatori..
Il file risultante dalla decompressione appariva essere un file standard di icona JPG ma nascondeva in effetti un eseguibile Unix opportunamente celato. Un primo tentativo di disassemblamento del codice (ecco il thread originale) rivela che l’applicazione contiene codice Virus-like o programmato per apparire tale. Anche le stesse routines contenute hanno nomi sicuramente significativi:
_infect:
_infectApps:
_installHooks:
_copySelf:
Le conseguenze precise dell’utilizzo dell’applicazione sono ad oggi ancora sconosciute ma dalle note dei primi utenti contagiati sembrerebbe diffondersi in modo autonomo, anche se non è chiaro se attraverso differenti drive, connessioni di rete e/o mail.
Unico dato certo ad oggi è l’utilizzo da parte del malicious code di SpotLight per ricercare altre applicazioni sul computer vittima e infettare la macchina ospite inserendo codice negli eseguibili.
Andrew Welch sta seguendo gli sviluppi della situazione in questo thread.
Personalmente tratterò l’argomento alla prossima edizione del MasterCourse di Virus e Sicurezza Informatica che terrò a Milano il 10-11 Aprile 2006.
UPDATE: Una volta tanto ho qualche ora di anticipo su SlashDot…. Inoltre segnalo il completo articolo di Andrew.
E’ un Virus?
Una nota di definizione piuttosto importante riguarda cosa si intenda per Virus e se questo debba o meno essere classificato tale necessitando di un intervento diretto di esecuzione da parte di un utente e non autoreplicandosi al di fuori dell’ambiente ospite (salvo, ricordiamoci, se l’utente utilizza supporti esterni per memorizzare informazioni infette). A tal proposito la definizione formale di Virus recita:
In computer security technology, a Virus is a self-replicating program that spreads by inserting copies of itself into other executable code or documents. A computer Virus behaves in a way similar to a biological Virus, which spreads by inserting itself into living cells.
In altre parole se è corretto definire l’applicativo un Troyan poichè si cela all’interno di un supposto contenuto di immagine, esso apparteine inoltre ad ogni merito alla categoria formale dei Virus.
Post Simili
»I Love You - Serata con Virus
»Il Virus per il sistema che non c’è…
»Nuova edizione Master in Virus Informatici
»Bibliografia: Virus e Sicurezza Informatica
».NET e Virus Writing
»Virus informatici: Strategie di infezione e Tecniche di prevenzione
»Conferenze e Corsi
»Sony BGM denunciata in un esposto
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
16 Feb 06
9:12 am
Da quanto ho letto il software in questione richiede l’esplicita attivazione dell’utente (la solita autenticazione dell’utente amministratore), sia per essere eseguito la prima volta che per diffondersi su altri sistemi nella stessa rete locale. Tecnicamente dovrebbe quindi essere un trojan e a quanto ricordo non è il primo per Mac OS X.
Sicuramente è il miglior trojan mai uscito ed è un brutto segno. O magari un bel segno visto la attuale totale opacità di Apple per quanto concerne la sicurezza.
Sicuramente, per gli utenti incauti, un antivirus sarà obbligatorio.
16 Feb 06
9:15 am
Tecnicamente si definisce Virus:
Probabilemnte la distinzione che intendevi è tra Virus e Worm, il secondo dei quali si diffonde senza intervento dell’utente.
Quindi è esattamente un Virus e storicamente è il primo che infetta altre eseguibili in ambiente MacOs X (esistono altri in System 9 ed inveriori).
M.
16 Feb 06
9:58 am
[...] EF=”http://www.the-brights.net”> Oggi gira questa voce…: “Sembra che anche gli utenti MacOs X siano stati elargiti [...]
16 Feb 06
11:26 am
Se consideriamo un virus qualcosa che richiede la password dell’amministratore per poter far danni, allora sono capace anch’io a scriverne uno per OSX,e lo potrei fare persino in Bash script….
Non so poi come si faccia a cascarci: avete mai visto delle immagini che per essere aperte vi chiedono la password di root?
16 Feb 06
1:13 pm
Mi sembra che la definizione riportata da Matteo sia imperniata attorno al fatto che, una volta installatosi sul sistema in un qualsiasi modo, il virus sia in grado di autoreplicarsi.
Welch lo classifica come trojan ma anche il punto di vista di Matteo secondo me è appropriato.
In ogni caso non chiede la password di root (root tra l’altro è disabilitato di default su OSX) ma la password di amministratore.
Cosa non difficile da ottenere perché:
1) Il primo (e spesso unico) utente creato su OSX è un amministratore
2) Da Panther, OSX si ricorda per qualche minuto lo ’status’ di amministratore dell’utente, quindi se il malware viene aperto nel momento giusto non ha neanche bisogno di chiedere
3) Non tutti gli utenti idioti usano Windows, tocca fersene una ragione.
Il trojan più formidabile per OS X lo ha scritto un mio collega: una versione bacata di un BIOS di un nostro prodotto che una volta installato all’avvio cancellava la partition table del disco di avvio. Non male…
16 Feb 06
11:08 pm
Mi spiace, ma la definizione riportata da Matteo (che e’ grossomodo esatta) contraddice proprio cio’ che lui ne deduce.
Un virus e’ “A computer program that is designed to replicate ITSELF by copying itself into the other programs stored in a computer”
Cio’ che contraddistingue i virus e’ la AUTOreplicazione. Cio’ che contraddistingue i worm e’ la non necessita’ di un host file da infettare.
Cio’ che non si autoreplica (come questo aggeggio) non e’ un virus, secondo nessuna definizione accettata comunemente di virus. Al massimo si puo’ definire un trojan horse, quindi appartenente alla piu’ vaga genia dei malware.
20 Feb 06
10:56 am
questo nn è affato un virus… non si auto replica e chiede la pass da amministratore, per cui:
1) gli utenti esperti non ci cascheranno mai
2) gli utenti incapaci hanno paura di qualsiasi cosa “fuori dal comune” ( e una pass x aprire una foto lo è) per cui in preda al panico chiuderanno la foto, la getteranno svuotando 3 volte il cestino daranno 5 o 6 colpi di utility disco, cocktail, et simila e atomizzeranno la scrivania finche non sara completamente disinfettata…
può darsi che 3 o 4 utenti saranno infettati, ma visto che con windows si prendovo virus anche aprendo google…