Leap-A mniej złośliwy, ale ciągle niebezpieczny

Okazuje się, że pierwszy wirus przeznaczony na system operacyjny Mac OS X nie jest aż tak groźny, jak się to w pierwszej chwili wydawało. Wirus Leap-A miał się rozsyłać przez komunikatory internetowe i uniemożliwiać uruchamianie zakażonych programów. Użytkownicy Mac OS X przeprowadzili serię testów, by dojść do wniosków, że nie jest aż tak źle, jak się to na pierwszy rzut oka wydawało, choć nie ma też się z czego cieszyć.

O Leap-A, zwanym także Oompa Loompa, informowaliśmy w artykule "Pierwszy wirus na Mac OS X". Wirus ukryty jest w fałszywych plikach graficznych, znajdujących się w archiwum "latestpics.tgz". Po rozpakowaniu i dwukrotnym kliknięciu znajdującego się tam pliku JPEG wirus instaluje się w systemie. Dalsza jego działalność objawia się poprzez rozsyłanie do wszystkich kontaktów w komunikatorze internetowym iChat pliku "latestpics.tgz" i infekowaniu programów napisanych w środowisku Cocoa. Programy zarażają się przy pierwszym otwarciu, co skutkuje ich zepsuciem uniemożliwiającym ponowne uruchomienie.

Znaleźli się jednak chętni do przeprowadzenia serii bolesnych testów. Odważnie zainfekowali swoje maszyny, by sprawdzić jak naprawdę działa Leap-A. Rezultaty badań były dość zaskakujące. O ile samo zarażenie komputerów przebiegło poprawnie, jednak dalsza działalność wirusa była inna od oczekiwanej. Programy napisane w środowisku Cocoa i dostarczane przez Apple z każdą maszyną, czyli Safari, Mail, Address Book, iCal i inne, pozwalały się wielokrotnie uruchomić i zamknąć, ignorując obecność wirusa w systemie. Kolejna próba również wypadła niepomyślnie - Leap-A nie chciał się replikować przy pomocy komunikatora iChat. Mimo testowania przeróżnych kombinacji związanych z restartowaniem aplikacji i przesyłaniem miedzy sobą plików wirus nie był w stanie przeskoczyć z komputera na komputer. Po kilku godzinach testu wszystko wyglądało na głupi dowcip - ekspertom nie udało się zepsuć żadnej aplikacji napisanej w środowisku Cocoa, ani przesłać wirusa przez komunikator internetowy iChat.

Czy oznacza to, ze Leap-A jest zwykłą fałszywką? Niestety nie, po dokładnym przeanalizowaniu wirusa dowiedziono, że jest on niebezpieczny, choć muszą być spełnione pewne bardzo określone warunki. By wirus mógł się przysyłać pomiędzy komunikatorami iChat, muszą one działać w trybie Bonjour, czyli być w sieci lokalnej, nie połączone z zewnętrznymi serwerami. Automatycznie wyłącza to zdecydowaną większość użytkowników komputerów z Mac OS X, którzy używają komunikatora iChat w klasyczny sposób. Analogicznie wygląda sytuacja z aplikacjami napisanymi w środowisku Cocoa. Leap-A atakuje jedynie programy należące do użytkownika, a nie do systemu, czyli wszystkie aplikacje dostarczane przez Apple razem z systemem operacyjnym są całkowicie bezpieczne. No i nadal trzeba wirusa ręcznie uruchomić, poprzez rozpakowanie archiwum "latestpics.tgz" i podwójne kliknięcie na znajdujący się w nim plik JPEG.

Pozbywanie się wirusa z systemu jest stosunkowo proste, z przyczyn wspomnianych powyżej. System operacyjny jest czysty i nie wymaga ponownej instalacji. Należy usunąć plik "latestpics.tgz"z katalogu "/tmp", skasować "InputManagers" z folderu "Library", usunąć wszystkie egzemplarze pliku "latestpics.tgz", znajdujące się na komputerze i wreszcie nadpisać wszystkie zepsute aplikacje nowymi wersjami pobranymi z Internetu. Przy tej ostatniej czynności należy jednak pamiętać, że uruchomienie zakażonego programu, na przykład w celu sprawdzenia, czy nie jest popsuty, może nieść ze sobą ryzyko dalszego zakażania innych, niezarażonych do tej pory aplikacji.

Wnioski płynące z testów są bardzo ciekawe. Błędy w kodzie wirusa, albo po prostu decyzja autora, sprawiają, że Leap-A nie jest specjalnie niebezpieczny. Być może chodzi tu tylko o pokazanie istniejących w systemie operacyjnym Mac OS X "dziur" i możliwości ich wykorzystania. Użytkownicy komputerów Apple muszą zdać sobie sprawę, że "wiek niewinności" właśnie się skończył i powinni zacząć kontrolować, co pobierają z Internetu i uruchamiają na swych komputerach. Więcej szczegółów i dokładny przebieg testów na stronie MacWorld.


Zobacz również