Leap-A : le ver dans le fruit?
La rumeur commence a faire le tour du Web mac : cette fois-ci, ça y est le premier virus pour Mac OS X aurait fait son apparition.
Il semblerait qu’un fichier intitulé latestpics.tgz posté à l’origine sur un forum de MacRumors soit à l’origine de la diffusion, et décompresse un exécutable malveillant dissimulé derrière une icône de fichier jpg, en fait de captures d’écran de Mac OS X 10.5 Leopard. Le fichier se répandrait à présent principalement par transfert via iChat.
Selon Andrew Welch le président d’Ambrosia Software qui a le premier identifié le malware, la décompression de l’archive gzip ferait apparaître 2 fichiers nommés respectivement ._lastestpics et latestpics, Le fichier “latestpics” est en fait un exécutable compilé pour PowerPC avec des routines à l’intitulé aussi sympathique que :
_infect:
_infectApps:
_installHooks:
_copySelf:
Après analyse détaillée de son fonctionnement, il semblerait que la joyeuseté se comporte comme une sorte de “validation de concept” sans grande nocivité, en cherchant essentiellement à se propager d’application en application sur la machine infectée et d’un utilisateur à l’autre via la liste de contacts iChat, même si un bug du trojan empêche les applications ainsi vérolées de se lancer.
D’abord baptisé “Oompa-Lumpa” puis “Oomp-A” par Welsh en référence à l’appelation particulière de 2 marqueurs utilisés, le trojan a été transmis pour info avec quelques détails à l’éditeur d’anti-virus Sophos qui l’a baptisé OSX/Leap-A… On se souviendra que c’est Sophos qui avait été à l’origine de l’alerte d’Opener (voir la dépêche du 3 novembre 2004), lequel s’était avéré en fait un rootkit.
En tout état de cause, il suffit pour se protéger cette fois encore de ne pas ouvrir l’archive latestpics.tgz, et d’une manière générale d’éviter de donner son mot de passe administrateur pour visualiser une simple image jpg…
avec Marc Geoffroy 😉
