Foi encontrado o primeiro vírus e worm para o sistema operacional Mac OS X. A praga foi divulgada em um tópico no fórum do site MacRumors no dia 13/02, prometendo screenshots do novo OS X 10.5 Leopard. Usuários de Mac, acostumados com a inexistência de código malicioso para a plataforma, executaram a praga sem desconfiar de nada.
Batizado de OSX/Leap-A e classificado como um worm, ele se espalha utilizando o cliente de mensagem instantânea iChat, da Apple. O arquivo lastespics.tgz, que é um arquivo compactado da mesma forma que arquivos ZIP, é enviado aos contatos do usuário infectado.
Ao extrair os arquivos, o usuário se depara com o que parece um arquivo JPEG, que seria a figura contendo a screenshot do novo sistema da Apple. Ao tentar abrir a “figura”, no entanto, o usuário vê uma janela de terminal, mostrando que o arquivo é na verdade um programa e não uma imagem.
O worm então apaga os arquivos da pasta ~/Library/InputManagers/apphook/ e cria novos arquivos com informações especificadas pela praga:
- ~/Library/InputManagers/apphook/apphook.bundle/Contents/MacOS
- ~/Library/InputManagers/apphook/apphook.bundle/Contents/Info.plist
- ~/Library/InputManagers/apphook/Info
Esses arquivos fazem com que o OSX.Leap.A seja iniciado junto com todos os aplicativos executados no sistema. Se o worm for executado com acesso root, a pasta /Library/InputManagers será usada.
O worm também é um vírus. Ele busca os 4 programas executados mais recentemente que não necessitam de acesso root usando o Spotlight e os infecta, fazendo com que esses programas também possam infectar um sistema com o vírus/worm.
A praga possui dois bugs graves: os programas infectados podem ser danificados e incapazes de serem executados e, em alguns sistemas, o worm não será capaz de se espalhar usando o iChat.
O vírus não explora nenhuma falha no sistema da Apple. Foram utilizados apenas recursos do OS X, provando que todo sistema programável pode ser usado de forma maliciosa, independente do sistema operacional. O worm também não necessita de acesso root para infectar o sistema e se espalhar.
O OSX.Leap.A recebeu os títulos de “primeiro worm” e “primeiro vírus” para OS X. Além do Leap.A, existe somente um código malicioso para o OS X, o cavalo-de-tróia Opener.
É quase certo que este worm, como o Opener, não seja encontrado em uma proporção significativa na Internet, já que, além da existência de bugs que podem proibí-lo de se espalhar, o Mac OS X é usado por poucos usuários em comparação com o Windows, reduzindo o número de possíveis vítimas.
Links Relacionados
Todos os links estão em inglês.
- OSX/Leap-A (Informações da Sophos sobre a praga)
- OSX.Leap.A (Informações da Symantec sobre o worm)
- SH/Renepo-A (Opener — primeiro trojan para OS X)
Que lixo ! Na época do Mac OS não existia isso ! Foram trocar o sistema por esse lixo unixóide, olha o que aconteceu!
CurtirCurtir
Discordo da afirmação de que worm é virus. Virus aproveitam-se de falhas de segurança do sistema operacional e esse não é o caso nem do Mac OS X nem do suposto “virus” OSX/Leap-A. Se virus e worms fossem a mesma coisa, não faria sentido haver diferença de classificação entre um e outro. A própria Sophos, que emitiou o alerta sobre o OSX/Leap-A, não o classifica como virus e atribui-lhe risco baixo.
CurtirCurtir
A reportagem está incorreta. Isto é um trojan, pois necessita da interação do usuário para ser executado. Além do mais, quando você executa o arquivo, o Mac OSX pergunta se você quer realmente executar o aplicativo (a não ser que você rode o sistema como root, o que não é o default)
CurtirCurtir
karlmarx
Sim, existia. Essas são as primeiras pragas para o OS X. Existem diversos worms e scripts maliciosos para versões mais antigas do sistema.
Marcelo Todaro
A Sophos o classifica como risco 2 de 5 (médio-baixo), o mesmo nível em que está atualmenteo Nyxem-D (Kama Sutra) que se espalhou no mês passado.
Quanto a ser um “Vírus”, sua definição está incorreta. Quem explora falhas no sistema são “exploits”. Exploits são utilizados por worms (Blaster e Sasser) e não por vírus. Vírus clássicos como o Dark Avenger também não exploram nenhuma falha no sistema.
Ele é classificado como “Worm” pois qualquer definição tem mais validade que “Vírus”. Se uma praga é “Vírus” (infector de arquivos) e ao mesmo tempo se espalha por e-mail, mensagen instantânea ou rede, ela recebe a definição de worm. Veja a descriação do Beagle.N@mm, classificado como “worm” que infecta arquivos (item 7 na descrição). Esse é um padrão da indústria antivírus.
A mesma Sophos utiliza o termo “Vírus” em seu press release sobre a praga.
Claudio Okato
Trojan é todo código malicioso que não se espalha por si só. Esse é um worm, pois se espalha via iChat. Por esse motivo não é um trojan e sim um worm. Pela sua definição, quase todos os códigos maliciosos são trojans, pois necessitam da interação do usuário.
Quanto à confirmação, que tipo de confirmação é essa? Temos informações que o programa não pede a senha de root pois não necessita de acesso root para ser executado, mas não sabemos da necessidade de confirmação para a execução do programa.
CurtirCurtir
Complementando meu comentário anterior, a Sophos atualizou seu press release sobre o worm para dizer o seguinte:
Tradução:
CurtirCurtir
O Altieres deu uma lição em quem tava criticando a matéria mesmo……
CurtirCurtir
Virus, worm, trojan, o que importa ?
O que interessa é que isto é uma anormalidade que, independente de falha de concepção de sistema ou conhecimento do usuário quanto às mazelas da informática, precisa ser divulgada e ententida.
Alguém cnhece um sistema 100% seguro ou um usuário que sabe 100% sobre o sistema qe utiliza?
CurtirCurtir
que olé
CurtirCurtir
Na verdade as empresas de anti-vírus estavam desesperadas para anunciarem um vírus pra macintosh e não duvido nada que tenha sido a própria Sophos quem criou esse worm…
Seja quem for, pedalou, pedalou e não achou nenhuma falha pra explorar no OSX.
Infelizmente, para as empresas de antivírus, o OSX não é um queijo suíço como o Ruindows…
CurtirCurtir
Isto é uma verdadeira besteira, este tipo de trojan existe em mac a pelo menos 5 anos só que o nível de interação era muito maior, indiscutivelmente tentar comparar windows com mac, ou seja virus com trojan é marketing “anti-sistemas-capazes”
CurtirCurtir
Mas se é algo que vem disfarçado de imagem e temos que abrir para ele funcionar o OSX sempre antes de instalar qquer coisa avisa que estamos abrindo um programa e se queremos mesmo executá-lo. Sejá um update, uma widget, um programa novo qualquer. Se alguem escolher executrar um programa, disfarçado de foto e sem saber o que é realmente está disposto a correr o risco. Não acho que isso seja um vírus.
CurtirCurtir
Amigos, amigos, virus, worm, trojan…se vocês querem discutir quantas pernas têm as centopeias ou qual era a cor do cavalo branco de Napoleão, eu também tenho uma opinião: ladrões sempre serão, digo, foram, ladrões – de estrada, de galinha, do país, dos paises, do mundo.
Protegei-vos e deixem de besteira.
[Ed: cuidado com a linguagem]
CurtirCurtir
Pessoal, esse “virus”, “trojan”, “worm” ou seja lá o que for, ainda é meio português. Ele tem que pedir para o usuário colocar a senha de administrador, para poder fazer seus “estragos” profundamente. Não conheço ninguém que rode o OS X como usuário root como default.
Vamos fazer um virus nesses moldes então pra PC. O e-mail poderia ser assim:
“Prezado usuário,
Anexo está um vírus português. Por favor execute-o para que seu sistema seja apagado.
Muito obrigado”
file: destruidor.bat
deltree c:*.* /y
hahahahaha
O que as empresas não fazem pra tentar vender algo inútil…
CurtirCurtir
Artur Ramos
Todo o sistema que pode ser programado por terceiros para escrever e apagar bytes no disco pode ter código malicioso programado, sendo esse sistema “capaz” ou não. Acreditar o contrário é uma ilusão que só lhe trará decepção.
Por favor leia o artigo Illusions of Security do ótimo Internet Storm Center.
Gabriel
Com certeza não foi a Sophos que programou esse worm, pois o mesmo foi linkado no fórum da MacRumors dia 13/02. Nenhuma companhia de antivírus que oferece soluções para Mac quer que saibam que ela demorou quase 3 dias pra adicionar a detecção para um worm que foi linkado publicamente em um fórum.
Acredite — as companhias de antivírus não precisam pagar ninguém pra programar pragas digitais. Há mais delas disponíveis por aí do que elas podem catalogar.
Claudio Okato & Jorge
Fiz uma pesquisa e encontrei o tópico onde foi feita a primeira análise do worm. Não é exibido qualquer prompt de confirmação ou pedido de senha root. O worm simplesmente não infectará nenhum aplicativo que necessita acesso root.
CurtirCurtir
A caras vcs são doidos ficarem descutindo sobre isso
hauhua
Falou
CurtirCurtir
é meio besta querer comparar windows com mac , se o windows tem muitas falhas , não é por q o sistema seja ruim e sim q o windows é feito para rodar em qualquer maquina , seja uma pcchips seja uma Asus , ja o mac só roda em computadores fabricados pela própria apple, fora q como o windows domina o mercado de computadores , ele é o mais visado para ataques. Se caso a apple passar o windows(oq é improvavel) logicamente os hackers vão se concentrar mais na plataforma q estiver mais difundida e aí ja viu né , vai chover virus para mac , afinal nada é infalível! Então aproveitem enquanto vcs são minoria , hehe
CurtirCurtir
ahhh….!
que classe !!!
CurtirCurtir
Ok, vírus, worm, trojan, ou o que for… Tudo bem, tudo bem…
Mas, o que um leigo como eu que chegou aqui porque leu a manchete no UOL e não entende nada de sistemas operacionais pode fazer? Simplesmente não clicar na tal ‘fotinha.jpg’ que algum email suspeito me mandar? Ou tem mais alguma coisa que pode ser feita, a não ser esperar?
CurtirCurtir
Que pobre ilusão, pensarem que não é possível ter vírus, worm ou qualquer artifício de se burlar qualquer falha, seja do SO ou da ingenuidade do usuário. A incidência destas falhas só é divulgada e espalhada proporcionalmente em relação a utilização do SO pelas pessoas. O que interessa criar qualquer código para atrapalhar a vida de quem usa o Mac. Quem usa ? Que peso tem ele no mercado, apenas traço. Não que ele seja ruim, pelo contrário, ele é muito bom, porém não é infalível como muitos pensam. O grande erro de Marketing do Mac é tentar passar a idéia que ele é perfeito, mas deveria sim explorar suas qualidades para ganhar mercado e não chacotizar os outros, no caso o líder Windows. O mesmo erro ocorre com o Linux, que passa a idéia que é tudo de graça e sem falhas, não tem vírus, grande besteira, parece que todos são idiotas, que acreditam em tudo. Vamos mudar nossa linha de pensamento em relação a estas ilusões, pois a frustação é terrível quando se depara que o castelo não era de cristal e sim de vidro.
CurtirCurtir
Porque será que quem ama mac odeia windows e quem odeia windows ama a mac?!
CurtirCurtir
Todos os comentários sobre essa matéria foram bem esclarecedores… inclusive achei uma sacada genial do André perguntar “O que interessa criar qualquer código para atrapalhar a vida de quem usa o Mac. Quem usa ?”.
Eu respondo: diria que 90% dos usuários mundiais utilizam plataforma Windows, é um fato… Mas aí é que está meu caro: quem são estes 10%?!
HOLLYWOOD, principalmente.
Empresas, Produtoras, Canais de TV, Estúdios de áudio e vídeo, Agências de publicidade e TUDO o que se relaciona com a expressão “audio + video = render”, profissionalmente é feito em Mac. Sim, é possível montar uma ilha de edição em PC… mas a qualidade gráfica e de processamento de imagem do Mac é indiscutível. Programas como AVID e FinalCut em plataforma Mac são utilizados em 90% dos negócios.
acho que máquinas de 150.000 dólares infectadas e talvez meses de edição perdidos por alguma falha causaria grandes prejuízos sim…
mas enfim, quem ama mac abomina windows e vice versa… pessoalmente ainda acho que existem plataformas ainda melhores que os dois. e utilizo os dois, para diferentes fins.
o melhor será aquele que atender melhor à seguinte pergunta: para que vc irá utilizar este computador?
sacaram?!
CurtirCurtir