Troijalaisia Mac OS X:ssä?
Moni Apple-uutissivusto julkaisi eilen Integon, Macille virustorjuntaohjelmia tekevän yrityksen, lehdistötiedotteen ensimmäisestä Mac OS X -troijalaisesta. Tiedotteen mukaan “The Trojan horse’s code is encapsulated in the ID3 tag of an MP3 (digital music) file. This code is in reality a hidden application that can run on any Macintosh computer running Mac OS X.”
Myöhemmin tiedote tuomittiin yleisesti Integon julkisuudentavoitteluksi ja rahastukseksi, sillä Intego julkaisi samalla 60 dollarin hintaisen suojan troijalaista vastaan. Käytännössä mitään troijalaista ei ainakaan vielä ole leviämässä, sillä siitä on ainoastaan käyty keskustelua comp.sys.mac.programmer.misc-uutisryhmässä ja eräs ohjelmoija teki siitä esimerkkitiedoston, joka ei kuitenkaan aiheuta mitään tuhoa.
Toisin kuin Intego väittää, troijalainen ei ole saastunut MP3-tiedosto, eikä se voi “saastuttaa” muitakaan tiedostoja. Sen sijaan se on ohjelma, joka on tehty näyttämään tiedostolta. Mac OS X:ssä on kahdenlaisia ohjelmia: on uusia OS X -ohjelmia, jotka käyttöjärjestelmä tunnistaa .app-päätteestä (pääte on yleensä näkymättömissä) ja vanhasta Mac OS:stä perittyjä, niin sanottuja Carbon-ohjelmia, jotka järjestelmä tunnistaa ohjelman sisään tallennetusta tiedostotyypistä “APPL”. Carbon-ohjelmatiedostolla ei ole välttämättä mitään tiedostopäätettä ja vaikka olisikin, käyttöjärjestelmä ei huomioi sitä mitenkään. Tiedoston – tai ohjelman – ikoni ei myöskään kerro mitään siitä, mikä tiedosto oikeasti on. On siis varsin yksinkertaista ohjelmoida Carbon-ohjelma, jonka nimi loppuu .mp3 ja jonka ikonina on MP3-tiedoston ikoni.
Tuskin millään asetuksilla Mac OS X ajaa koneelle tulevia ohjelmia itsestään, joten troijalainen ei pääse tekemään mitään, ellei sitä kaksoisklikkaa. Ikonin raahaminen iTunesin päälle ei toimi, koska tiedosto ei oikeasti ole MP3-muotoinen. Sitä ei voi myöskään avata mihinkään muuhun MP3-soittimeen. Jos tiedoston tietoja katsoo Finderissa, näkee, että se on ohjelma eikä MP3-tiedosto. Koska troijalainen on Carbon-ohjelma, sitä ei voi sellaisenaan levittää sähköpostissa, vaan se täytyy pakata esimerkiksi StuffItilla tai tallentaa levyimageksi ja vastaanottajan täytyy se purkaa.
Ikävä kyllä tämä troijalainen on kuitenkin oikeasti olemassaoleva riski sellaisille käyttäjille, jotka eivät katso mitä avaavat. Itsestään se ei kuitenkaan leviä, mutta niin eivät taida tehdä monet Windows-troijalaisetkaan ja siltikään niistä ei päästä eroon.