Trojaner til Mac OS X?
Sunday, October 08, 2006 (01:00:50)

Posted by Fedda

Virus til Mac er svært sjeldent, og det kan diskuteres om det i hele tatt finnes. De som er er såpass små, at noen mener de ikke engang kan kalles virus. Men nylig ble det oppdaget en ny trojaner til Mac OS X på MacRumors forum.

En bruker på MacRomurs forum postet nylig en post på forumet, med en link som utga seg for å være screenshots av Mac OS X 10.5 Leopard. Filens navn var "latestpis.tgz", og når man dekomprimerer den ser den ut til å være en vanlig JPEG fil/icon i Mac OS X, mens den egentlig er et kamuflert Unix-program.



Andre brukere på MacRomurs var kjapt igang med og plukke programmet fra hverandre, og det var nå de oppdaget et viruslignende utseende. Rutinene var som:

_infect:
_infectApps:
_installHooks:
_copySelf:

Det er ikke helt klart hva viruset/trojaneren gjør med dataen, men en av brukerene på MacRomurs åpnet uheldigvis filen. Her er hans uttalelser: "If anyone remembers last night, when lasthope spread that picture that opened in terminal. I just turned on my other computer and it said it had an incoming file, from my computer, which was the latest pics file. Any help. I have already secure deleted it off of my harddrive, but how do i know that it will not come back." Med andre ord så det ut til og formere seg selv.

Senere har bl.a Andrew Welch (Ambrosia Software) funnet ut at programmet bruker Spotlight for å finne andre programmer og infisere disse ved å installere en liten kodesnutt.

Så, vær nå oppmerksomme alle Mac-brukere. Jeg gjentar dette av sikkerhetsmessige grunner:

Viruset kommer i form av en link ved navn "latestpis.tgz." .

Viruset er en trojaner (p.g.a at programmet krever brukeraktivering). 

Kilder: MacRomurs , Mac1