Beveiligingsonderzoekers hebben malware voor Apple’s besturingssysteem OS X gevonden dat zich gedraagt als een virus. De malware heeft de naam ‘Clampzok.A’ en verspreidt zich naar andere binaire bestanden op het systeem als de malware wordt uitgevoerd. Hiermee lijkt dit het eerste echte virus voor OS X te zijn.
Het ontdekte virus is een ‘proof of concept’: de gebruikte code of methode wordt niet gebruikt in huidige malware voor het OS X platform.
Clampzok.A is geschikt voor meerdere platformen. De malware is in 2006 ontwikkeld in Assembly code voor Windows en Linux systemen, maar is onlangs aangepast om 32-bit binaire Mach-O bestanden in OS X aan te vallen.
Tijdens het infecteren kopieert het virus zichzelf naar het ‘__PAGEZERO’ segment van andere binaire bestanden. Door middel van andere aanpassingen aan dit segment, zorgt de malware ervoor dat lezen en uitvoeren van de viruscode wordt toegestaan. Vervolgens past het virus ‘LC_UNIXTHREAD’ commando in het binaire bestand aan, zodat bij het aanroepen van het bestand eerst de viruscode wordt uitgevoerd in plaats van de oorspronkelijke code.
Als een geïnfecteerd bestand wordt uitgevoerd zoekt het virus naar andere 32-bit binaire bestanden om deze vervolgens te besmetten. De malware probeert de BSD tools en andere programma’s in /bin en /usr/bin mappen op OS X systemen te besmetten. Als een gebruiker een terminal commando uitvoert op een geïnfecteerd systeem, worden alle andere terminal commando’s ook besmet.
Het virus heeft maar zeer beperkte effectiviteit en zal hierdoor geen grote problemen veroorzaken. Het virus werkt alleen op 32-bit binaire Mach-O bestanden. De recente versies van OS X maken vooral gebruik van 64-bit code. Daarnaast is het virus eenvoudig door anti-malware software te ontdekken in het __PAGEZERO segment van binaire bestanden. Tenslotte zullen bestanden die digitaal zijn ondertekend na een infectie niet meer werken, omdat het bestand achteraf is gewijzigd.