Onderzoekers creëren viraal virus voor OS X

Het eerste echt besmettelijke computervirus voor Apple’s besturingssysteem OS X is gemaakt. De vorm van malware met de naam Clampzok.A exploiteert gaten in Mac OS X en kan zich na uitvoering verspreiden in binaire bestanden.

Beveiligingsonderzoekers maakten Clampzok.A, een cross-platform malwarepakket dat binaire code op geïnfecteerde systemen verandert, zodat de code op zijn beurt aangrenzende bestanden ook infecteert.

De malware is in assembleertaal geschreven en gebaseerd op het al in 2006 uitgebrachte CAPZLOQ TEKNIQ, dat Windows en Linux aanviel. Het virus is door de onderzoekers aangepast voor 32-bit Mach-O binaire bestanden, waardoor ook OS X-apparatuur vatbaar wordt.

In tegenstelling tot Trojans, spyware en adware verstopt Clampzok.A zich niet, maar poogt het zich te verspreiden in het systeem. Zo’n zogenaamde worm infecteert geen gezonde bestanden, het klassieke virus dringt binnen in bestanden en verandert de code, zodat na uitvoering het virus zijn verlammende grip op het systeem versterkt. Clampzok.A vertoont eigenschappen van beide vormen.

Na infectie verandert Clampzok.A het ‘_PAGEZERO’ segment van gezonde code zodat de viruscode erin staat vermeld. Vervolgens verandert het virus de schrijfrechten van het bestand en muteert de code het commando ‘LC_UNIXTHREAD’, zodat het naar het virus verwijst, in plaats van het gewenste doel. Vanuit daar zoekt het naar andere 32-bit bestanden in de omgeving.

Clampzok.A is een van de eerste virale aanvallen op het OS X-platform, hoewel de code alleen werkt op 32-bit Mach-O bestanden. De meeste systemen draaien inmiddels code geschreven in 64-bit. Daarnaast is het virus redelijk eenvoudig te onderscheppen door een scanner, omdat deze alleen de lees- en schrijfrechten van het _PAGEZERO-segment hoeft te controleren. Ook zal de validatie van geïnstalleerde software (zoals uit de Mac App Store) niet meer geldig zijn na infectie, wat argwaan moet opwekken.

Het virus is vooralsnog alleen bevestigd als proof-of-concept, dat is een ontleding door experts in een veilige omgeving. Het is dus (nog) niet als echte malware op een OS X-systeem gevonden. Daarnaast is het gemakkelijk te onderscheppen en heeft het een beperkt bereik. Het risico is nu dus beperkt, maar nu meer malware-makers zich richten op OS X, begint de dreiging voor het ooit ondoordringbaar geachte systeem van Apple te groeien.