最近计算机安全世界经历了一场震撼，有两个会感染 Macintosh 操作系统 (Mac OS) 的蠕虫被发现，而这种操作系统向来都很少遭到计算机病毒攻击。这两个会感染 Mac OS X 10.4 的蠕虫分别在 2 月 16 日与 17 日被发现，并且已被趋势科技定义为 OSX_LEAP.A 与 OSX_INQTANA.A。而短短三天之内，Safari 网页浏览器也在 2 月 20 日被发现含有安全弱点。这个安全弱点能允许下载的指令文件自动执行，因此可能成为零时差攻击利用的渠道。

    第一波攻势

    恶意程序在 Mac OS 上的第一波感染行动是通过 OSX_LEAP.A 来完成。它的行径类似 WORM_BROPIA 与 WORM_OPANKI 变种，会通过实时传讯程序来散播，像 MSN 与 AOL。值得注意的是，OSX_LEAP.A 用以传播的媒介应用程序是 Apple 的 iChat 传讯程序。它会使用这个应用程序将 “latestpics.tgz” 压缩文件传送给目标收件人。然而，我们发现了一些关于这只蠕虫如何散播的线索：收件人必须将压缩文件中的 “latestpics” 这个程序文件解压缩并执行它。因为它利用了通常是与图形文件关联的图标，所以使用者可能很容易上当而将上述程序解压缩。

    感染模式

    使用者通过 iChat 程序收到的蠕虫是一个名为  “latestpics.tgz” 的压缩文件。将压缩文件解压缩之后会产生两个文件：

    • Latestpics – Mac OS 恶意执行文件
    • Latestpics – 隐藏的资源文件，内含主要执行文件使用的图标。

    “latestpics” 执行之后会将自己与资源文件复制到 /tmp 资料夹中，然后再将这两个文件重新封装为另一个名为 “latestpics.tgz” 的压缩文件。当散播行动被触发时，它就会将这个压缩文件传送出去。

    接着它会删除下列任何一个资料夹中的 apphook 资料夹：

    • LIBRARY/INPUTMANAGERS (如果是以 root 权限执行)
    • ~/LIBRARY/INPUTMANAGERS (如果不是以 root 权限执行)

     然后它会建立它自己的 Apphook 资料夹，其中包含下列文件：

    • Info
    • APPHOOK.BUNDLE

    建立这个内含 apphook 的资料夹之后，只要有应用程序启就都会触发散播行动，将 “latestpics.tgz” 压缩文件传送给在受害者 的 iChat 连络人清单中找到的使用者。

    整个感染事件的根源可追溯至 macrumors.com，有一个自称 “Lasthope” 的使用者在此论坛中发布了一个连结 (http://forums.macrumors.com/showthread.php?t=180066)，并声称此连结中包含了下一版 Mac 操作系统的屏幕撷取画面。读者只要从这个连结下载文件并将它开启，就会遭病毒感染，出现异常的行为模式。张贴这些「照片」的使用者已经被这个网站停权，而恶意程序连结也被移除了。

    事件发生之后，趋势科技已经向使用者发布建议，但是只将它列为低风险等级，因为文件必须要执行之后才会产生作用。关于这个恶意程序应归类为病毒、特洛依木马程序还是蠕虫，许多论坛都出现了激烈的辩论。

    Apple 已经否认这是个安全威胁，声称这「不是病毒」，而是「使用者必须下载应用程序，并执行造成问题的文件才会发作的恶意软件」，此外他们还提供处理网络下载文件的安全指导方针 (http://docs.info.apple.com/article.html?artnum=108009)。