Epidemac Virus Mac - UPDATE: Oomp-A ou Leap-A sur Mac OS X

Sophos a publié hier (16 février 2006) un bulletin d'alerte virale concernant les Macintosh équipé du système Mac OS X.

Leap-A, appelé aussi Oompa-A se transmet par l'intermédiaire du logiciel de messagerie instantanée iChat, installé sur chaque ordinateur Apple équipé de l' OS X.

Le ver se propage par l'intermédiaire du logiciel de messagerie en envoyant aux personnes présente dans votre liste de contact un fichier appelé "latestpics.tgz ".
L'ouverture de l'archive sur un ordinateur équipé de Mac OS X, fait apparaitre une soit disante image au format JPG dans le but de duper le destinataire.

L'éditeur d'antivirus Sophos annonce que les utilisateurs de son logiciel sont protégé depuis hier midi sous condition d'avoir mise à jour le logiciel.

N'ouvrer pas le fichier latestpics.tgz et effacer le, même si il provient d'une personne que vous connaissez.

Apparu pour la première fois le 13 février 2006, sur le forum de MacRumors ce cheval de Troie a été posté par un utilisateur inconnu prétendant qu'il s'agissait du dernier virus pour Mac fonctionnant sur l'OS 10.5 Léopard.

Le fichier compressé appellé "latestpics.tgz" semblait contenir une image JPEG car il utilisait l'icone standard de ce type de fichier.
Il s'agissait en fait d'un exécutable compilé UNIX. (Le système OS X est basé sur un système UNIX).

Les premières vérifications éffectuées par Andrew Welch montraient à l'évidence que cet éxécutable se comportait comme un virus ou a été concu pour donner cette impression.

Les lignes de codes présentent dans le fichier comportait entre autre :

 
_infect:

_infectApps:

_installHooks:

_copySelf:

Les conséquences exactes de cet exécutable étaient peu clair dans un premier temps, mais certains utilisateurs après avoir éxécuté le code ont noté que celui ci avait la capacité de se propager tout seul pour infecter d'autres ordinateurs Mac.

Selon les premières recherches, ce virus utilise Spotlight, - le logiciel de recherche de fichier sur Mac OS X - pour trouver des applications sur l'ordinateur infectée et insère un fragment de code malveillant dans chacune des applications trouvées.

Il semble toutefois que cette infection n'est rendu possible que si vous ouvert une session grâce à un compte dit "Administrateur". Les privilèges du compte "Utilisateur" ne permettent pas à ce cheval de Troies d'infecter les applications du Mac.

Pour se propager, ce virus utilise AIM/iChat (le logiciel de messagerie instantanée sur Mac OS X) en s'envoyant lui même aux personnes présentes dans votre liste de contact.

Ce cheval de Troies ne présente pas de grand risque. Sophos ayant qualifié le risque de "faible" et Symantec l'ayant classé en niveau 1 sur une échelle qui en compte 5.
De plus selon certaines sources, ce virus ne peut pas fonctionner sur Mac architecturé autour du processeur Core Duo d'Intel.

Ce virus marque cependant la fin d'un age d'or. On présentait souvent les ordinateurs Apple comme invulnérable au virus. Pourtant, victime de son succès la firme à la pomme risque de devoir être de plus en plus la cible de personnes malveillante.