MISE À JOUR: Il y a beaucoup de débats pour savoir s'il s'agit d'un véritable ver ou simplement d'un script exécutable élaboré que l'utilisateur est amené à exécuter. Cela semble être un ver - c'est un code autonome qui se réplique sur le Net (déf.). Mais cela nécessite également que l'utilisateur accepte de l'accepter en tant que transfert de fichier iChat, ce qui est un trait de Troie. Il ne nécessite pas que l'utilisateur entre un mot de passe pour être installé, comme une application OS X. Il n'avertit pas non plus l'utilisateur qu'il peut avoir affaire à un fichier exécutable, comme le fait Safari lorsqu'il télécharge un logiciel sur Internet. C'est donc plus qu'un simple script-kiddie Applescript. De plus, cela peut être pour la plupart inoffensif maintenant, mais conduira probablement à des versions beaucoup plus méchantes à l'avenir, selon cette analyse des programmeurs de Rixstep: « Les futures versions du même ver ou ses dérivés seront forcément destructrices et beaucoup plus intrusives. En exploitant plusieurs faiblesses du système de fichiers d'Apple, (Leap-A) et ses successeurs fonctionneront.
Une dernière chose: il a été dit il y a quelque temps que le passage d'Apple aux puces Intel rendrait la plate-forme plus sensible aux logiciels malveillants comme celui-ci. Mais Leap-A est un ver PowerPC. Est-ce que cela rend les Intel-Mac invulnérables? Est-ce qu'il fonctionnera à Rosetta?
Oh oui, le graphique vient du Site Web de Symantec.
Le premier malware Mac OS X a été repéré dans la nature, mais il semble être une sorte de pétard humide.
Appelé Leap-A par les sociétés antivirus, le ver apparaît sous la forme d'un fichier JPEG qui se propage via iChat aux contacts de la liste de contacts de l'utilisateur infecté.
Selon un Symantec communiqué de presse:
Le ver utilise le programme de recherche Spotlight, inclus dans OSX, et s'exécutera à chaque démarrage de la machine. Il identifie toutes les applications en cours de démarrage, et si iChat commence à s'exécuter, le ver utilise iChat pour envoyer le fichier infecté — lastpics.tgz — à tous les contacts de la liste de contacts de l'utilisateur infecté. Les personnes inscrites sur la liste de contacts seront alors invitées à accepter le fichier. S'ils le font, le fichier sera ensuite enregistré sur leur disque dur. Fichiers infectés par OSX.Leap. A peut être corrompu et peut ne pas fonctionner correctement.
Il y a un certain désaccord sur ce que fait le ver. Société d'antivirus Sophos dit qu'il supprime les fichiers et laisse d'autres fichiers "non infectés" sur l'ordinateur. Un communiqué de presse par courrier électronique de Énumération des logiciels malveillants informatiques dit qu'il "empêche Macintosh OS X de fonctionner correctement et les applications infectées de se lancer correctement".
Néanmoins, Leap-A semble être le premier malware OS X « à l'état sauvage ». Un précédent OS X méchant - un cheval de Troie surnommé MP3Concept - s'est avéré être une preuve de concept seul.
Leap-A est apparu pour la première fois cette semaine en tant que lien sur les forums de Mac Rumors qui prétendaient être des captures d'écran d'espionnage de Mac OS X 10.5 (Leopard).
Symantec classe le ver comme une menace faible car il n'infecte pas automatiquement les machines des autres. L'entreprise affirme avoir infecté moins de 50 machines.
"... ce ver n'infectera pas automatiquement, mais demandera aux utilisateurs d'accepter le fichier, donnant aux victimes potentielles un avertissement et la possibilité d'éviter l'infection", a déclaré la société. « Le conseil important pour tous les utilisateurs d'iChat exécutant OSX 10.4 est de ne pas accepter les transferts de fichiers, même s'ils proviennent d'une personne figurant sur une liste de contacts. »
Cependant, comme le note CME dans sa déclaration, le ver est un signal d'alarme pour les utilisateurs d'OS X avec une fausse impression de l'invulnérabilité d'OS X: « Maintenant, ce Leap. A a été découvert dans la nature, des individus avides de médias vont probablement lancer des attaques similaires en 2006. »