İlk Mac OS X Trojanı Piyasada

Oompa-Loompa (OSX/Oomp-A veya Leap.A) isimli virüs üç şekilde dağılıyor; internetten indirip çalıştırılarak, e-posta eklentisi olarak alınıp çalıştırılarak ve Apple'ın IM programı olan iChat'ten alınıp çalıştırılarak. İlk iki yöntem bilinçli bir göndermenin sonucu olsa da, trojan kendisini iChat'ten gönderebilme yetisine sahip.

Aslında, Oompa-Loompa sadece bir virüsten ibaret değil. Virüs, Trojan ve Worm'un karışımı bir "zararlı". Trojan, çünkü bir resim dosyası şeklinde saklanmış bir çalıştırılabilir dosya. Worm, çünkü kendini iChat üzerinden dağıtabiliyor. Son olarak, virüs çünkü kendini başka (Carbon'la yazılmış) uygulamaların içine saklayarak çoğalabiliyor.

Virüs ilk önce MacRumors.com sitesinde bir kullanıcının, içinde "Mac OS X Leopard'ın son ekran görüntüleri" olduğunu iddia ettiği bir .tar.gz dosyasını göndermesiyle ortaya çıkmış. latestpics.tar.gz dosyasını açınca içinde kendini resim dosyası gibi gösteren bir yazılımın ortaya çıktığı, ve bu yazılıma çift tıklayınca sistemin yönetici parolası istediği belirtiliyor. Yönetici şifresi yazılırsa, içindeki UNIX kodu çalışmaya başlıyor. Trojan önce (Home)/Library/InputManagers klasörüne apphook.bundle dosyasını yerleştiriyor; böylece hem her sistem başlangıcında açılışını, hem de kendini diğer programlara kopyalamayı garantiliyor. Daha sonra Apple'ın Mac OS X Tiger'la sunduğu Spotlight arama motoru ile o ay içinde en çok kullanılan -ve root şifresi gerektirmeyen- 4 uygulamaya virüsü bulaştırıyor. Virüsün son aşaması, kendisini iChat üzerinden listenizdeki kullanıcılara dağıtmak oluyor.

Virüsün tehlikesinin oldukça düşük olduğu belirtiliyor. Bunun nedenlerinden birkaçı; virüsün sistemi değil programları bozması, kullanıcı açmadığı sürece virüsün kurulmaması ve sadece PowerPC G3/G4/G5 işlemcili Mac OS X Tiger'larda çalışması olarak gösteriliyor. Virüs, ücretsiz UNIX tabanlı virüs tarayıcısı ClamAV'yle veya Intego VirusBarrier X4 ile kaldırılabiliyor. Ayrıca Apple, Intego ve Symantec firmaları, kullanıcılara Root/Admin hesapları dışında kullanıcılar yaratmalarını, latestpics.tar.gz isimli dosyaları açmamalarını ve "bir resim dosyası açarken yönetici şifresi girmelerine gerek olmadığını" da hatırlatıyor.

çok güzelmiş