第一波攻势
恶意程序在 Mac OS 上的第一波感染行动是通过 OSX_LEAP.A 来完成。它的行径类似 WORM_BROPIA 与 WORM_OPANKI 变种,会通过实时传讯程序来散播,像 MSN 与 AOL。值得注意的是,OSX_LEAP.A 用以传播的媒介应用程序是 Apple 的 iChat 传讯程序。它会使用这个应用程序将 “latestpics.tgz” 压缩文件传送给目标收件人。然而,我们发现了一些关于这只蠕虫如何散播的线索:收件人必须将压缩文件中的 “latestpics” 这个程序文件解压缩并执行它。因为它利用了通常是与图形文件关联的图标,所以使用者可能很容易上当而将上述程序解压缩。
感染模式
使用者通过 iChat 程序收到的蠕虫是一个名为 “latestpics.tgz” 的压缩文件。将压缩文件解压缩之后会产生两个文件:
Latestpics-Mac OS 恶意执行文件
Latestpics?隐藏的资源文件,内含主要执行文件使用的图标。
“latestpics” 执行之后会将自己与资源文件复制到 /tmp 资料夹中,然后再将这两个文件重新封装为另一个名为 “latestpics.tgz” 的压缩文件。当散播行动被触发时,它就会将这个压缩文件传送出去。
接着它会删除下列任何一个资料夹中的 apphook 资料夹:
LIBRARY/INPUTMANAGERS (如果是以 root 权限执行)
~/LIBRARY/INPUTMANAGERS (如果不是以 root 权限执行)
然后它会建立它自己的 Apphook 资料夹,其中包含下列文件:
Info
APPHOOK.BUNDLE
建立这个内含 apphook 的资料夹之后,只要有应用程序启就都会触发散播行动,将 “latestpics.tgz” 压缩文件传送给在受害者 的 iChat 连络人清单中找到的使用者。
整个感染事件的根源可追溯至 macrumors.com,有一个自称 “Lasthope” 的使用者在此论坛中发布了一个连结 (http: //forums.macrumors.com/showthread.php?t=180066),并声称此连结中包含了下一版 Mac 操作系统的屏幕撷取画面。读者只要从这个连结下载文件并将它开启,就会遭病毒感染,出现异常的行为模式。张贴这些「照片」的使用者已经被这个网站停权,而恶意程序连结也被移除了。
事件发生之后,趋势科技已经向使用者发布建议,但是只将它列为低风险等级,因为文件必须要执行之后才会产生作用。关于这个恶意程序应归类为病毒、特洛依木马程序还是蠕虫,许多论坛都出现了激烈的辩论。
Apple 已经否认这是个安全威胁,声称这「不是病毒」,而是「使用者必须下载应用程序,并执行造成问题的文件才会发作的恶意软件」,此外他们还提供处理网络下载文件的安全指导方针 (http://docs.info.apple.com/article.html?artnum=108009)。
第二波攻势
在 OSX_LEAP.A 引发骚动的一天之后,概念验证型蠕虫 OSX_INQTANA.A 随即出现。它所利用的是蓝牙联机的安全弱点,这个安全弱点可以让它存取预设的交换 (exchange) 资料夹以外的资料夹或路径。根据 CAN-2005-1333 的描述,这个安全弱点是由于 Bluetooth Object Exchange (OBEX) 服务并未建置足够过滤器而造成的&因此可允许存取预设资料夹以外的路径。
OSX_INQTANA.A 是以 Java 撰写的蠕虫,它会搜寻并尝试连结可用的蓝牙装置。如果使用者接受联机,它就会利用上述安全弱点将下列文件植入 /users 资料夹中。
worm-support.tgz - 内含蠕虫及其组件的 TAR-GZIP 压缩文件
{user name}/Library/LaunchAgents/com.openbundle.plist - 可在激活时将蠕虫压缩文件内容解压缩的 .PLIST 文件
{user name}/Library/LaunchAgents/com.pwned.plist - 可在激活时执行蠕虫程序的 .PLIST 文件
然而,这个恶意程序散播的可能性并不高,因为 Apple 早在 2005 年 5 月就已经修正了这个安全弱点。
此外,趋势科技也已经侦测到这个安全威胁,但是只将这个蠕虫列为低风险等级,因为除了安全弱点已经修正以外,它还必须取得联机装置的许可,才可能散播。然而,我们仍建议使用者不要执行不明文件,尤其是可疑的使用者所提供的文件。