Leap (datormask)
| Vanligt namn | Oompa-Loompa |
|---|---|
| Tekniskt namn | Leap.A |
| Alias |
|
| Klassificering | Okänd |
| Typ | Mask |
| Undertyp | Skadlig programvara |
| Ursprungspunkt | [Okänd] |
Oompa -Loompa malware, även kallad OSX/Oomp-A eller Leap.A , är en programinfekterande, LAN -spridande mask för Mac OS X , upptäckt av Apples säkerhetsföretag Intego den 14 februari 2006. Leap kan inte spridas över Internet , och kan bara spridas över ett lokalt nätverk som kan nås med Bonjour - protokollet. På de flesta nätverk begränsar detta det till ett enda IP- subnät .
Leverans och infektion
Leap-masken levereras via iChats snabbmeddelandeprogram som en gzip- komprimerad tar- fil som heter latestpics.tgz . För att masken ska träda i kraft måste användaren anropa den manuellt genom att öppna tar-filen och sedan köra den förklädda körbara filen.
Den körbara filen är förklädd med standardikonen för en bildfil och påstår sig visa en förhandsvisning av Apples nästa OS. När den väl har körts kommer masken att försöka infektera systemet.
För användare som inte är "admin" kommer den att fråga efter datorns administratörslösenord för att få privilegiet att redigera systemkonfigurationen. Det infekterar inte program på disken, utan snarare när de laddas, genom att använda en systemfunktion som kallas "apphook".
Leap infekterar bara Cocoa- applikationer, och det infekterar inte applikationer som ägs av systemet (inklusive appar som kommer förinstallerade på en ny maskin), utan bara appar som ägs av användaren som för närvarande är inloggad. Vanligtvis betyder det appar som den nuvarande användaren har installerat genom att dra och släppa, snarare än av Apples installationssystem. När en infekterad app startas försöker Leap att infektera de fyra senast använda applikationerna. Om dessa fyra inte uppfyller ovanstående kriterier, sker ingen ytterligare infektion vid den tidpunkten.
Nyttolast
När den väl har aktiverats försöker Leap sedan sprida sig själv via användarens iChat Bonjour-kompislista. Det sprids inte med hjälp av iChat-kompislistan, inte heller över XMPP . (Som standard använder iChat inte Bonjour och kan därför inte överföra denna mask.)
Leap tar inte bort data, spionerar på systemet eller tar kontroll över det, men det har en skadlig effekt: på grund av en bugg i själva masken kommer en infekterad applikation inte att starta. [ citat behövs ] Detta är användbart eftersom det hindrar människor från att fortsätta att starta det infekterade programmet.
Skydd och återhämtning
En vanlig metod för att skydda mot den här typen av datormask är att undvika att starta filer från opålitliga källor. Ett befintligt administratörskonto kan "avklaras" genom att avmarkera rutan "Tillåt den här användaren att administrera den här datorn." (Minst ett administratörskonto måste finnas kvar på systemet för att installera programvara och ändra viktiga systeminställningar, även om det är ett konto som skapats enbart för detta ändamål.)
Att återhämta sig efter en Leap-infektion innebär att maskfilerna raderas och infekterade program ersätts med färska kopior. [ citat behövs ] Det kräver inte ominstallation av operativsystemet, eftersom systemägda applikationer är immuna.
externa länkar
- Intego Analysis - OSX/Leap.A aka OSX/Oompa-Loompa
- Macworld- Mac Security: Antivirus
- Macworld-test av Leap A, med återställningstips
- Leap-A malware: vad du behöver veta