Ett experiment i virus: trojan till Mac OS X

Detta är mitt första experiment till virus på Mac OS X.

Jag har gjort ett program som hämtar alla epostadresser ur Adressboken och sedan mailar sig självt till dem. Ett ganska harmlöst virus med andra ord, eftersom det inte skadar någon eller raderar några filer. Bara mailar sig självt.

Eller harmlöst och harmlöst, denna typ av "harmlösa" virus ställer till med enorma problem för IT-avdelningar och företag då den enorma mängden mail som det resulterar i får servermiljön att gå under.

Det blir dock ingen kaos på IT-avdelningen om de två Macarna i företaget infekteras och skickar epost till alla i Adressboken, om de 326 Windows-burkarna blir det däremot, då får man en hel del att stå i. Men nu är ju detta ett Mac-virus så IT-avdelningen behöver inte bry sig överhuvudtaget; de kan sitta kvar och spela Counterstrike istället. Eftersom det bara finns två Macar på kontoret så är ju detta "virusangrepp" inte ens lika allvarligt som när Benke på ekonomiavdelningen skickar runt helgens skörd av "roliga" mail... Hahaha, skrattar de, och spelar vidare.

Tillbaka till viruset. Detta är alltså ett virus som förutsätter att användaren luras att köra det, i tron att det är nåt roligt som hans/hennes vän tipsat om.

Så här ser det ut i Mail om man fått viruset skickat till sig:

Trots att jag bytt ikonen till en JPG-ikon så syns den inte i Mail, istället visar Mail den "riktiga" ikonen. Tyvärr misslyckas jag alltså i detta första försök att få användaren att "se" att det är en JPEG-bild. Men nån kan ju bli lurad iaf, dock färre än om ikonen visat att det är en JPEG-bild. Detta minskar drastiskt chansen att någon kommer att tro på att det är en bild och inte ett elakt script.

Eftersom filen är ett exekverbart script, och inte en bild, så får användaren istället spara ned filen. Detta ökar också det misstron mot att det faktiskt är en bild som viruset påstår sig vara. Denna typ av skydd finns numer även i Windows, dock inte på den tiden då de värsta epostburna virus spreds.

För att komma runt dessa hinder så skulle jag bli tvungen att använda en annan metod för att dölja att scriptet är ett script; exempelvis utnyttja det säkerhetshål i bildformatet TIFF som gör att folk fått root-access till iPhone. Men så ambitiös är inte jag i detta experiment.

När användaren sparat ned "bilden" så ser den ut såhär:

Titta, det är ju en JPEG-fil! Sådana är ju inte farliga att klicka på, tänker användare Nisse. När han klickat på den så skickar sig viruset till alla i hans adressbok. Och så börjar allting om igen. Ja, fast så illa som det låter är det ju inte. Eftersom Mac bara har 5% marknadsandel så innebär ju det att 95% av alla mottagare är immuna mot viruset.

Dessutom, om användaren kör Leopard så visas även denna varning:

Ännu en gång minskar då risken att användaren går på den här luringen. Hmm, vad är nu det här, undrar användaren. Vissa kanske går på detta ändå, men eftersom användaren vid flera tillfällen stött på tveksamheter så innebär det i slutändan att chansen att detta virus sprider sig är mycket mycket liten.

Tillägg: Sen ska det ju även nämnas att man måste ju inte ens låtsas att den bifogade filen är en bild, man kan ju även påstå att det är nåt schysst tillägg till Leopard, tex nåt som gör Docken snyggare, eller nåt. Det kanske tillochmed gör saken lättare.

Summa sumarum

Så, vad var hindren och problemen med detta försök till att skapa ett Mac-virus? Var det svårt att koda ihop? Mjae, det tog inte så lång tid och det blev bara ca trettio rader kod.

Behöver viruset några administrativa rättigheter som den inte får hursomhelst? Näe. Viruset struntar fullständigt i administrativa rättigheter; det vill som många andra virus bara sprida sig. Om jag hade velat så hade viruset även kunnat radera vilken fil som helst i användarens hemkatalog utan att behöva några särskilda rättigheter för det.

Det som förhindrar detta virus att spridas är inte att det inte går att skriva (det är mycket enkelt), utan att tack vare god design från Apple så blir användaren skeptisk mot innehållet gång på gång. Det är denna typ av virus som är vanligast på Windows. Alltså; bifogade filer i ett epostmeddelande, som när användaren är godtrogen nog att öppna dem, skickar sig själv vidare. Hur lätt som helst att göra samma sorts trojan till Mac, dock tack vare god design från Apples sida svårare att lura användaren att faktiskt köra den.

Precis, det är nog också just därför som virus oftast försöker komma in den vägen: att med lockande filnamn och beskrivning få användarna att öppna filen. Några klassiker är ju t.ex. "britney-topless.exe", "LOVE-LETTER-FOR-YOU.TXT.vb", "GiRlZ FoReVeR (Wow).exe", "Kama Sutra.exe", "Kurnikova Screensaver (6+).exe", etc. Detta är alltså den mest vanliga metoden som epostburna virus använder för att infektera sina offer.

Precis, då hade det inte körts istället. Om det finns någon "mellanväg" så att säga tror jag inte, isf att utnyttja ett säkerhetshål i ett bildformat. I exempelvis TIFF finns det ju ett känt säkerhetshål.

Det är dock avsevärt mer komplicerat än att skriva trettio rader ruby-kod som jag gjorde. Då behöver man inte heller maila bilden, utan det räcker med att användaren öppnar den över webben för att infektera datorn (allt man behöver göra är att surfa till jailbrakeme.com så utnyttjar den ett säkerhetshål för att få root-access på iPhone).

Nej det är det inte. Det här skrev jag ihop på eget bevåg på några minuter.

Mja, iaf om man ska lura användaren att filen är av en ofarlig filtyp. Det finns absolut ingen anledning att tro att Macen är ogenomtränglig för trojaner som utnyttjar användarnas godtrohet.

Om trojanen istället hade hetat "Leopard Dock Tweaker" och utgett sig för att göra det möjligt att byta "look" på docken, så kanske fler ha lurats att köra filen.

Det finns ju ett antal små program som nån eller några pillat ihop för att göra just detta; modifiera docken. Dessa program har spritts via zip-arkiv på sajter såsom RapidShare.com (till skillnad från versiontracker.com). De/den hade ju tveklöst lika gärna kunnat vara trojaner som gjort något styggt utöver att förändra docken.

Detta är ett tydligt bevis på att även vana Mac-användare här på forumet ibland kan ladda hem och köra program av okänd karaktär från okända platser, och gladeligen ange sitt lösenord för att köra det — vilket docktweak ju kräver.

Det är bara om man väljer att försöka lura användaren med att det är en bild, och inte ett genuint program som kräver admin-lösenord. Som jag redan har nämnt så kan även vana användare ibland ladda hem okända program av okänd art och gladeligen ange sitt admin-lösenord när programmet frågar om det. Det är allt som behövs för att ställa till med precis-vad-som-helst. Godtrohet, och Mac-användare har ingen brist på sådan.

Ingen. Och det är inte standardinställningen.

Precis.

Jag är beredd att hålla med, typ. Men som jag påpekat så väljer ju vana användare ibland att ladda hem okända program från okänd plats av okänd typ, och anger sitt admin-lösenord när det ber om det. Kalla det virus, trojan eller vad du vill, men läget är ju fortfarande att det är rätt enkelt att med den verklighetsbakgrunden skapa en elak trojan till Mac.

Som jag brukar säga; att radera användarens personliga filer är precis lika allvarligt, om inte allvarligare, än att skada systemfiler. Systemfiler är en barnlek att ersätta/återställa, jämförelsevis.