Foi encontrado o primeiro vírus e worm para o sistema operacional Mac OS X. A praga foi divulgada em um tópico no fórum do site MacRumors no dia 13/02, prometendo screenshots do novo OS X 10.5 Leopard. Usuários de Mac, acostumados com a inexistência de código malicioso para a plataforma, executaram a praga sem desconfiar de nada.

Batizado de OSX/Leap-A e classificado como um worm, ele se espalha utilizando o cliente de mensagem instantânea iChat, da Apple. O arquivo lastespics.tgz, que é um arquivo compactado da mesma forma que arquivos ZIP, é enviado aos contatos do usuário infectado.

Ao extrair os arquivos, o usuário se depara com o que parece um arquivo JPEG, que seria a figura contendo a screenshot do novo sistema da Apple. Ao tentar abrir a “figura”, no entanto, o usuário vê uma janela de terminal, mostrando que o arquivo é na verdade um programa e não uma imagem.

O worm então apaga os arquivos da pasta ~/Library/InputManagers/apphook/ e cria novos arquivos com informações especificadas pela praga:

  • ~/Library/InputManagers/apphook/apphook.bundle/Contents/MacOS
  • ~/Library/InputManagers/apphook/apphook.bundle/Contents/Info.plist
  • ~/Library/InputManagers/apphook/Info

Esses arquivos fazem com que o OSX.Leap.A seja iniciado junto com todos os aplicativos executados no sistema. Se o worm for executado com acesso root, a pasta /Library/InputManagers será usada.

O worm também é um vírus. Ele busca os 4 programas executados mais recentemente que não necessitam de acesso root usando o Spotlight e os infecta, fazendo com que esses programas também possam infectar um sistema com o vírus/worm.

A praga possui dois bugs graves: os programas infectados podem ser danificados e incapazes de serem executados e, em alguns sistemas, o worm não será capaz de se espalhar usando o iChat.

O vírus não explora nenhuma falha no sistema da Apple. Foram utilizados apenas recursos do OS X, provando que todo sistema programável pode ser usado de forma maliciosa, independente do sistema operacional. O worm também não necessita de acesso root para infectar o sistema e se espalhar.

O OSX.Leap.A recebeu os títulos de “primeiro worm” e “primeiro vírus” para OS X. Além do Leap.A, existe somente um código malicioso para o OS X, o cavalo-de-tróia Opener.

É quase certo que este worm, como o Opener, não seja encontrado em uma proporção significativa na Internet, já que, além da existência de bugs que podem proibí-lo de se espalhar, o Mac OS X é usado por poucos usuários em comparação com o Windows, reduzindo o número de possíveis vítimas.

Links Relacionados

Todos os links estão em inglês.

  • OSX/Leap-A (Informações da Sophos sobre a praga)
  • OSX.Leap.A (Informações da Symantec sobre o worm)
  • SH/Renepo-A (Opener — primeiro trojan para OS X)
Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

21 comentários

  1. Que lixo ! Na época do Mac OS não existia isso ! Foram trocar o sistema por esse lixo unixóide, olha o que aconteceu!

    Curtir

  2. Marcelo Todaro 16/02/2006 às 20:32

    Discordo da afirmação de que worm é virus. Virus aproveitam-se de falhas de segurança do sistema operacional e esse não é o caso nem do Mac OS X nem do suposto “virus” OSX/Leap-A. Se virus e worms fossem a mesma coisa, não faria sentido haver diferença de classificação entre um e outro. A própria Sophos, que emitiou o alerta sobre o OSX/Leap-A, não o classifica como virus e atribui-lhe risco baixo.

    Curtir

  3. Claudio Okato 16/02/2006 às 20:34

    A reportagem está incorreta. Isto é um trojan, pois necessita da interação do usuário para ser executado. Além do mais, quando você executa o arquivo, o Mac OSX pergunta se você quer realmente executar o aplicativo (a não ser que você rode o sistema como root, o que não é o default)

    Curtir

  4. karlmarx

    Sim, existia. Essas são as primeiras pragas para o OS X. Existem diversos worms e scripts maliciosos para versões mais antigas do sistema.

    Marcelo Todaro

    A Sophos o classifica como risco 2 de 5 (médio-baixo), o mesmo nível em que está atualmenteo Nyxem-D (Kama Sutra) que se espalhou no mês passado.

    Quanto a ser um “Vírus”, sua definição está incorreta. Quem explora falhas no sistema são “exploits”. Exploits são utilizados por worms (Blaster e Sasser) e não por vírus. Vírus clássicos como o Dark Avenger também não exploram nenhuma falha no sistema.

    Ele é classificado como “Worm” pois qualquer definição tem mais validade que “Vírus”. Se uma praga é “Vírus” (infector de arquivos) e ao mesmo tempo se espalha por e-mail, mensagen instantânea ou rede, ela recebe a definição de worm. Veja a descriação do Beagle.N@mm, classificado como “worm” que infecta arquivos (item 7 na descrição). Esse é um padrão da indústria antivírus.

    A mesma Sophos utiliza o termo “Vírus” em seu press release sobre a praga.

    Claudio Okato

    Trojan é todo código malicioso que não se espalha por si só. Esse é um worm, pois se espalha via iChat. Por esse motivo não é um trojan e sim um worm. Pela sua definição, quase todos os códigos maliciosos são trojans, pois necessitam da interação do usuário.

    Quanto à confirmação, que tipo de confirmação é essa? Temos informações que o programa não pede a senha de root pois não necessita de acesso root para ser executado, mas não sabemos da necessidade de confirmação para a execução do programa.

    Curtir

  5. Complementando meu comentário anterior, a Sophos atualizou seu press release sobre o worm para dizer o seguinte:

    […] It is correct to call OSX/Leap-A a virus or a worm. It is not correct to call OSX/Leap-A a Trojan horse.

    Tradução:

    É correto chamar o OSX/Leap-A de vírus ou worm. Não é correto chamar o OSX/Leap-A de cavalo-de-tróia.

    Curtir

  6. Jones Bemjamim 16/02/2006 às 22:11

    O Altieres deu uma lição em quem tava criticando a matéria mesmo……

    Curtir

  7. Nilson Venâncio 16/02/2006 às 23:44

    Virus, worm, trojan, o que importa ?
    O que interessa é que isto é uma anormalidade que, independente de falha de concepção de sistema ou conhecimento do usuário quanto às mazelas da informática, precisa ser divulgada e ententida.

    Alguém cnhece um sistema 100% seguro ou um usuário que sabe 100% sobre o sistema qe utiliza?

    Curtir

  8. nelson provazi 16/02/2006 às 23:46

    que olé

    Curtir

  9. Na verdade as empresas de anti-vírus estavam desesperadas para anunciarem um vírus pra macintosh e não duvido nada que tenha sido a própria Sophos quem criou esse worm…

    Seja quem for, pedalou, pedalou e não achou nenhuma falha pra explorar no OSX.

    Infelizmente, para as empresas de antivírus, o OSX não é um queijo suíço como o Ruindows…

    Curtir

  10. Artur Ramos 16/02/2006 às 23:57

    Isto é uma verdadeira besteira, este tipo de trojan existe em mac a pelo menos 5 anos só que o nível de interação era muito maior, indiscutivelmente tentar comparar windows com mac, ou seja virus com trojan é marketing “anti-sistemas-capazes”

    Curtir

  11. Guilherme KM 17/02/2006 às 00:24

    Mas se é algo que vem disfarçado de imagem e temos que abrir para ele funcionar o OSX sempre antes de instalar qquer coisa avisa que estamos abrindo um programa e se queremos mesmo executá-lo. Sejá um update, uma widget, um programa novo qualquer. Se alguem escolher executrar um programa, disfarçado de foto e sem saber o que é realmente está disposto a correr o risco. Não acho que isso seja um vírus.

    Curtir

  12. Adolpho Dias 17/02/2006 às 00:29

    Amigos, amigos, virus, worm, trojan…se vocês querem discutir quantas pernas têm as centopeias ou qual era a cor do cavalo branco de Napoleão, eu também tenho uma opinião: ladrões sempre serão, digo, foram, ladrões – de estrada, de galinha, do país, dos paises, do mundo.

    Protegei-vos e deixem de besteira.

    [Ed: cuidado com a linguagem]

    Curtir

  13. Pessoal, esse “virus”, “trojan”, “worm” ou seja lá o que for, ainda é meio português. Ele tem que pedir para o usuário colocar a senha de administrador, para poder fazer seus “estragos” profundamente. Não conheço ninguém que rode o OS X como usuário root como default.

    Vamos fazer um virus nesses moldes então pra PC. O e-mail poderia ser assim:

    “Prezado usuário,

    Anexo está um vírus português. Por favor execute-o para que seu sistema seja apagado.

    Muito obrigado”

    file: destruidor.bat
    deltree c:*.* /y

    hahahahaha
    O que as empresas não fazem pra tentar vender algo inútil…

    Curtir

  14. Artur Ramos

    Todo o sistema que pode ser programado por terceiros para escrever e apagar bytes no disco pode ter código malicioso programado, sendo esse sistema “capaz” ou não. Acreditar o contrário é uma ilusão que só lhe trará decepção.

    Por favor leia o artigo Illusions of Security do ótimo Internet Storm Center.

    Gabriel

    Com certeza não foi a Sophos que programou esse worm, pois o mesmo foi linkado no fórum da MacRumors dia 13/02. Nenhuma companhia de antivírus que oferece soluções para Mac quer que saibam que ela demorou quase 3 dias pra adicionar a detecção para um worm que foi linkado publicamente em um fórum.

    Acredite — as companhias de antivírus não precisam pagar ninguém pra programar pragas digitais. Há mais delas disponíveis por aí do que elas podem catalogar.

    Claudio Okato & Jorge

    Fiz uma pesquisa e encontrei o tópico onde foi feita a primeira análise do worm. Não é exibido qualquer prompt de confirmação ou pedido de senha root. O worm simplesmente não infectará nenhum aplicativo que necessita acesso root.

    Curtir

  15. Leandro Oleinik 17/02/2006 às 08:22

    A caras vcs são doidos ficarem descutindo sobre isso
    hauhua

    Falou

    Curtir

  16. é meio besta querer comparar windows com mac , se o windows tem muitas falhas , não é por q o sistema seja ruim e sim q o windows é feito para rodar em qualquer maquina , seja uma pcchips seja uma Asus , ja o mac só roda em computadores fabricados pela própria apple, fora q como o windows domina o mercado de computadores , ele é o mais visado para ataques. Se caso a apple passar o windows(oq é improvavel) logicamente os hackers vão se concentrar mais na plataforma q estiver mais difundida e aí ja viu né , vai chover virus para mac , afinal nada é infalível! Então aproveitem enquanto vcs são minoria , hehe

    Curtir

  17. ahhh….!

    que classe !!!

    Curtir

  18. Ok, vírus, worm, trojan, ou o que for… Tudo bem, tudo bem…

    Mas, o que um leigo como eu que chegou aqui porque leu a manchete no UOL e não entende nada de sistemas operacionais pode fazer? Simplesmente não clicar na tal ‘fotinha.jpg’ que algum email suspeito me mandar? Ou tem mais alguma coisa que pode ser feita, a não ser esperar?

    Curtir

  19. Andre Rocha 17/02/2006 às 10:35

    Que pobre ilusão, pensarem que não é possível ter vírus, worm ou qualquer artifício de se burlar qualquer falha, seja do SO ou da ingenuidade do usuário. A incidência destas falhas só é divulgada e espalhada proporcionalmente em relação a utilização do SO pelas pessoas. O que interessa criar qualquer código para atrapalhar a vida de quem usa o Mac. Quem usa ? Que peso tem ele no mercado, apenas traço. Não que ele seja ruim, pelo contrário, ele é muito bom, porém não é infalível como muitos pensam. O grande erro de Marketing do Mac é tentar passar a idéia que ele é perfeito, mas deveria sim explorar suas qualidades para ganhar mercado e não chacotizar os outros, no caso o líder Windows. O mesmo erro ocorre com o Linux, que passa a idéia que é tudo de graça e sem falhas, não tem vírus, grande besteira, parece que todos são idiotas, que acreditam em tudo. Vamos mudar nossa linha de pensamento em relação a estas ilusões, pois a frustação é terrível quando se depara que o castelo não era de cristal e sim de vidro.

    Curtir

  20. Porque será que quem ama mac odeia windows e quem odeia windows ama a mac?!

    Curtir

  21. Todos os comentários sobre essa matéria foram bem esclarecedores… inclusive achei uma sacada genial do André perguntar “O que interessa criar qualquer código para atrapalhar a vida de quem usa o Mac. Quem usa ?”.

    Eu respondo: diria que 90% dos usuários mundiais utilizam plataforma Windows, é um fato… Mas aí é que está meu caro: quem são estes 10%?!

    HOLLYWOOD, principalmente.
    Empresas, Produtoras, Canais de TV, Estúdios de áudio e vídeo, Agências de publicidade e TUDO o que se relaciona com a expressão “audio + video = render”, profissionalmente é feito em Mac. Sim, é possível montar uma ilha de edição em PC… mas a qualidade gráfica e de processamento de imagem do Mac é indiscutível. Programas como AVID e FinalCut em plataforma Mac são utilizados em 90% dos negócios.

    acho que máquinas de 150.000 dólares infectadas e talvez meses de edição perdidos por alguma falha causaria grandes prejuízos sim…

    mas enfim, quem ama mac abomina windows e vice versa… pessoalmente ainda acho que existem plataformas ainda melhores que os dois. e utilizo os dois, para diferentes fins.

    o melhor será aquele que atender melhor à seguinte pergunta: para que vc irá utilizar este computador?

    sacaram?!

    Curtir

Os comentários estão encerrados.