Depois de toda a discussão gerada pelo OSX/Leap.A, um novo worm foi criado para a plataforma da Apple. A novidade é que uma falha de segurança é explorada no sistema 10.4 Tiger, que faz com que o worm seja salvo em um diretório diferente do escolhido pelo usuário em uma transferência de arquivos via Bluetooth.

A empresa de segurança finlandesa F-Secure é que alerta sobre o novo código malicioso. Batizado de OSX/Inqtana.A, o worm, programado em Java, espalha-se por redes sem fio Bluetooth. Para ser infectado, é necessário que usuário aceite a transferência de três arquivos separadamente.

Quando o usuário aceitar as transferências, o worm explora uma falha no Mac OS X que permite que um programa seja salvo fora do diretório especificado para transferências de arquivos. O worm utiliza isso para ser copiado para a pasta ~/Library/LaunchAgents/, que é semelhante ao “Inicializar” do Windows XP. Com isso, o worm será iniciado automaticamente pelo sistema na próxima vez que ele for reiniciado.

O worm é apenas uma prova de conceito criada para provar que é possível explorar as falhas existentes no OS X através de códigos maliciosos. Foi incluído um contador no worm que bloqueia sua execução após o dia 24 de fevereiro de 2006. Ele é, portanto, um código malicioso “zoo”, que nunca será capaz de se espalhar realmente para atacar os sistemas da Apple.

Mesmo assim, a existência da praga é prova de que todo sistema possui falhas e que as mesmas podem ser exploradas de alguma forma. A falha explorada já possui correção disponível para usuários de Mac.

Leap.A: Trojan, worm ou vírus?

O que esquentou a discussão sobre o Leap.A, encontrado ontem, foi a sua classificação. Usuários de Mac e até mesmo a própria Apple insistiram que o Leap.A não se trata de um vírus.

O programa poderia ser classificado como um “vírus”, pois infecta os programas usados recentemente. Ele também poderia ser um worm devido à existência do código para se espalhar via iChat e, finalmente, um trojan por tentar se passar por algo inofensivo (as screenshots do novo sistema da Apple). Como a praga é capaz de se espalhar sozinha (através do iChat), no entanto, a definição de cavalo-de-tróia se torna inválida.

Algumas pessoas contestaram que somente um código malicioso que se espalha sem a interação do usuário é vírus. Essa afirmação não é correta. Não existe um termo exclusivo para ameaças desse tipo, mas elas geralmente são classificadas como “worm”. Blaster, Sasser e Opaserv, todos códigos maliciosos que se espalham sem interação do usuário, foram classificados como “worm”.

Desde que a discussão começou, a Sophos atualizou seu alerta sobre a praga para incluir uma explicação dos termos e dizer que “É correto chamar o Leap.A de vírus ou worm, mas não de trojan.”

Vírus são pragas que infectam arquivos no disco, porém um worm é considerado mais evoluído do que um vírus. Se um vírus que infecta os programas no disco, como é o caso do Leap.A, também se envia através de e-mail ou mensagem instantânea (no caso o iChat), ele é considerado mais evoluído que um vírus e portanto é classificado como um worm. Um exemplo disso é o Beagle.N@mm, uma praga que infecta arquivos no disco, como muitos vírus antigos, mas, ao mesmo tempo, possui uma função para enviar e-mail e, por esse motivo, foi classificado como um worm. Retirando-se a função de e-mail, entretanto, a praga seria como muitas outras que recebem a classificação de vírus.

O Inqtana.A, por sua vez, não poderia ser chamado de um vírus, pois ele não infecta nenhum arquivo no disco. Ele utiliza apenas a rede para se espalhar e portanto pode ser apenas chamado de worm.

De certa forma, todo worm é visto como um código mais avançado que do qualquer outro vírus, portanto dizer que a plataforma não possui “vírus”, mas sim “worms” não traz nenhum consolo para a comunidade de segurança, que terá de lidar com os problemas independentemente dos nomes e classificações que eles vão receber.

Compartilhar |  Imprimir

18 comentários | Vírus & Exploits