Rozwój wirusów a luki w MacOS X

Przeczytaj także: Wirusy i ataki sieciowe X-XII 2005

Kolejną czynnością wykonywaną przez robaka jest wypakowanie z własnego kodu wtyczki InputManager o nazwie "apphook" . Jeżeli bieżący użytkownik posiada uprawnienia administratora, robak skopiuje wtyczkę do foldera "Library/InputManagers". W przeciwnym wypadku kopia robaka znajdzie się w folderze użytkownika "~/Library/InputManagers". Konsekwencje są następujące: wtyczki InputManagers z foldera głównego "/Library" będą ładowane do aplikacji uruchamianych przez wszystkich użytkowników, natomiast w drugim przypadku będą one ładowane do aplikacji uruchamianych wyłącznie przez użytkownika bieżącego.

Zadaniem wtyczki "apphook" jest rozprzestrzenianie robaka poprzez komunikator internetowy. Podejmuje ona próbę przechwycenia pewnych funkcji aplikacji iChat i wysyła kopię szkodnika do znajomych użytkownika zainfekowanego komputera.

Po zakończeniu instalacji wtyczki "apphook" kod robaka kontynuuje infekowanie lokalnych aplikacji. Przy użyciu systemowego składnika "Spotlight" szkodnik szuka listy najczęściej uruchamianych programów i próbuje je zainfekować. Procedura infekcji jest bardzo prosta: Leap nadpisuje swoim kodem główny plik wykonywalny, zapisując jednocześnie oryginalny kod aplikacji w części pliku przeznaczonej dla zasobów.

Przy uruchomieniu zainfekowanej aplikacji uruchamia się główny kod robaka i próbuje rozprzestrzeniać się w wyżej opisany sposób. Leap usiłuje wykonać oryginalną aplikację, jednak z powodu błędu w swoim kodzie - próby te są bezskutecznie. Oznacza to, że zainfekowane aplikacje przestają działać, co jest bardzo oczywistą oznaką infekcji.

Wydaje się, że autor robaka planował dodanie funkcji rozprzestrzeniania się za pośrednictwem poczty elektronicznej. Nie udało mu się jednak tego zrealizować, zanim kod pojawił się na forum MacRumors. Poza uszkadzaniem aplikacji podczas infekcji (co wydaje się efektem niezamierzonym) nie ma oznak innych funkcji destrukcyjnych zawartych w kodzie robaka.

18 lutego 2006 roku pojawił się kolejny robak dla systemu MacOS X. Inqtana rozprzestrzenia się poprzez Bluetooth wysyłając do potencjalnej ofiary żądanie transmisji danych Object Exchange (OBEX) Push. Jeżeli użytkownik zaakceptuje żądanie, robak wykorzysta lukę "Bluetooth File and Object Exchange Directory Traversal" w celu uzyskania dostępu do plików i folderów poza ścieżką systemową Bluetooth File and Object Exchange.

Robak umieszcza w folderze LaunchAgents dwa pliki: com.openbundle.plist oraz com.pwned.plist, co zapewnia mu uruchomienie wraz z każdym restartem komputera ofiary. W folderze /Users/ umieszczany jest plik w0rm-support.tgz zawierający komponenty robaka.

Po ponownym uruchomieniu systemu operacyjnego com.openbundle.plist wypakowuje składniki robaka, a com.pwned.plist uruchamia jego główną bibliotekę. Następnie Inqtana próbuje rozmnażać się poprzez skanowanie w poszukiwaniu urządzeń z włączoną usługą Bluetooth i wysyła własne kopie na każde znalezione urządzenie, które obsługuje żądania Object Exchange (OBEX) Push.

Z czasem okazało się, że autorem robaka Inqtana był specjalista ds. bezpieczeństwa Kevin Finisterre, który stworzył go jako "proof of concept".