最近计算机安全世界经历了一场震撼，有两个会感染 macintosh 操作系统 (mac os) 的蠕虫被发现，而这种操作系统向来都很少遭到计算机病毒攻击。这两个会感染 mac os x 10.4 的蠕虫分别在 2 月 16 日与 17 日被发现，并且已被趋势科技定义为 osx_leap.a 与 osx_inqtana.a。而短短三天之内，safari 网页浏览器也在 2 月 20 日被发现含有安全弱点。这个安全弱点能允许下载的指令文件自动执行，因此可能成为零时差攻击利用的渠道。 

　　第一波攻势 

　　恶意程序在 mac os 上的第一波感染行动是通过 osx_leap.a 来完成。它的行径类似 worm_bropia 与 worm_opanki 变种，会通过实时传讯程序来散播，像 msn 与 aol。值得注意的是，osx_leap.a 用以传播的媒介应用程序是 apple 的 ichat 传讯程序。它会使用这个应用程序将 “latestpics.tgz” 压缩文件传送给目标收件人。然而，我们发现了一些关于这只蠕虫如何散播的线索：收件人必须将压缩文件中的 “latestpics” 这个程序文件解压缩并执行它。因为它利用了通常是与图形文件关联的图标，所以使用者可能很容易上当而将上述程序解压缩。 

　　感染模式 

　　使用者通过 ichat 程序收到的蠕虫是一个名为 “latestpics.tgz” 的压缩文件。将压缩文件解压缩之后会产生两个文件： 

　　latestpics-mac os 恶意执行文件 

　　latestpics?隐藏的资源文件，内含主要执行文件使用的图标。 

　　“latestpics” 执行之后会将自己与资源文件复制到 /tmp 资料夹中，然后再将这两个文件重新封装为另一个名为 “latestpics.tgz” 的压缩文件。当散播行动被触发时，它就会将这个压缩文件传送出去。 

　　接着它会删除下列任何一个资料夹中的 apphook 资料夹： 

　　library/inputmanagers (如果是以 root 权限执行) 

　　~/library/inputmanagers (如果不是以 root 权限执行) 

　　然后它会建立它自己的 apphook 资料夹，其中包含下列文件： 

　　info 

　　apphook.bundle 

　　建立这个内含 apphook 的资料夹之后，只要有应用程序启就都会触发散播行动，将 “latestpics.tgz” 压缩文件传送给在受害者 的 ichat 连络人清单中找到的使用者。 

整个感染事件的根源可追溯至 macrumors.com，有一个自称 “lasthope” 的使用者在此论坛中发布了一个连结 (http://forums.macrumors.com/showthread.php?t=180066)，并声称此连结中包含了下一版 mac 操作系统的屏幕撷取画面。读者只要从这个连结下载文件并将它开启，就会遭病毒感染，出现异常的行为模式。张贴这些「照片」的使用者已经被这个网站停权，而恶意程序连结也被移除了。 

　　事件发生之后，趋势科技已经向使用者发布建议，但是只将它列为低风险等级，因为文件必须要执行之后才会产生作用。关于这个恶意程序应归类为病毒、特洛依木马程序还是蠕虫，许多论坛都出现了激烈的辩论。 

　　apple 已经否认这是个安全威胁，声称这「不是病毒」，而是「使用者必须下载应用程序，并执行造成问题的文件才会发作的恶意软件」，此外他们还提供处理网络下载文件的安全指导方针 (http://docs.info.apple.com/article.html?artnum=108009)。 

最近计算机安全世界经历了一场震撼，有两个会感染 macintosh 操作系统 (mac os) 的蠕虫被发现，而这种操作系统向来都很少遭到计算机病毒攻击。这两个会感染 mac os x 10.4 的蠕虫分别在 2 月 16 日与 17 日被发现，并且已被趋势科技定义为 osx_leap.a 与 osx_inqtana.a。而短短三天之内，safari 网页浏览器也在 2 月 20 日被发现含有安全弱点。这个安全弱点能允许下载的指令文件自动执行，因此可能成为零时差攻击利用的渠道。 

　　第一波攻势 

　　恶意程序在 mac os 上的第一波感染行动是通过 osx_leap.a 来完成。它的行径类似 worm_bropia 与 worm_opanki 变种，会通过实时传讯程序来散播，像 msn 与 aol。值得注意的是，osx_leap.a 用以传播的媒介应用程序是 apple 的 ichat 传讯程序。它会使用这个应用程序将 “latestpics.tgz” 压缩文件传送给目标收件人。然而，我们发现了一些关于这只蠕虫如何散播的线索：收件人必须将压缩文件中的 “latestpics” 这个程序文件解压缩并执行它。因为它利用了通常是与图形文件关联的图标，所以使用者可能很容易上当而将上述程序解压缩。 

　　感染模式 

　　使用者通过 ichat 程序收到的蠕虫是一个名为 “latestpics.tgz” 的压缩文件。将压缩文件解压缩之后会产生两个文件： 

　　latestpics-mac os 恶意执行文件 

　　latestpics?隐藏的资源文件，内含主要执行文件使用的图标。 

　　“latestpics” 执行之后会将自己与资源文件复制到 /tmp 资料夹中，然后再将这两个文件重新封装为另一个名为 “latestpics.tgz” 的压缩文件。当散播行动被触发时，它就会将这个压缩文件传送出去。 

　　接着它会删除下列任何一个资料夹中的 apphook 资料夹： 

建立这个内含 apphook 的资料夹之后，只要有应用程序启就都会触发散播行动，将 “latestpics.tgz” 压缩文件传送给在受害者 的 ichat 连络人清单中找到的使用者。 

　　整个感染事件的根源可追溯至 macrumors.com，有一个自称 “lasthope” 的使用者在此论坛中发布了一个连结 (http://forums.macrumors.com/showthread.php?t=180066)，并声称此连结中包含了下一版 mac 操作系统的屏幕撷取画面。读者只要从这个连结下载文件并将它开启，就会遭病毒感染，出现异常的行为模式。张贴这些「照片」的使用者已经被这个网站停权，而恶意程序连结也被移除了。 

　　事件发生之后，趋势科技已经向使用者发布建议，但是只将它列为低风险等级，因为文件必须要执行之后才会产生作用。关于这个恶意程序应归类为病毒、特洛依木马程序还是蠕虫，许多论坛都出现了激烈的辩论。 

　　apple 已经否认这是个安全威胁，声称这「不是病毒」，而是「使用者必须下载应用程序，并执行造成问题的文件才会发作的恶意软件」，此外他们还提供处理网络下载文件的安全指导方针 (http://docs.info.apple.com/article.html?artnum=108009)。 

　　第二波攻势 

　　在 osx_leap.a 引发骚动的一天之后，概念验证型蠕虫 osx_inqtana.a 随即出现。它所利用的是蓝牙联机的安全弱点，这个安全弱点可以让它存取预设的交换 (exchange) 资料夹以外的资料夹或路径。根据 can-2005-1333 的描述，这个安全弱点是由于 bluetooth object exchange (obex) 服务并未建置足够过滤器而造成的&因此可允许存取预设资料夹以外的路径。 

　　osx_inqtana.a 是以 java 撰写的蠕虫，它会搜寻并尝试连结可用的蓝牙装置。如果使用者接受联机，它就会利用上述安全弱点将下列文件植入 /users 资料夹中。 

　　worm-support.tgz - 内含蠕虫及其组件的 tar-gzip 压缩文件 

　　{user name}/library/launchagents/com.openbundle.plist - 可在激活时将蠕虫压缩文件内容解压缩的 .plist 文件 

　　{user name}/library/launchagents/com.pwned.plist - 可在激活时执行蠕虫程序的 .plist 文件 

　　然而，这个恶意程序散播的可能性并不高，因为 apple 早在 2005 年 5 月就已经修正了这个安全弱点。 

　　此外，趋势科技也已经侦测到这个安全威胁，但是只将这个蠕虫列为低风险等级，因为除了安全弱点已经修正以外，它还必须取得联机装置的许可，才可能散播。然而，我们仍建议使用者不要执行不明文件，尤其是可疑的使用者所提供的文件。