Het nieuws gisteren dat het eerste "virus" voor de Mac OS X was ontdekt haalde overal de headlines. Er is echter geen reden tot paniek. Het gaat hier namelijk niet om een virus of worm die zichzelf kan verspreiden, het gaat om een Trojaans paard. De malware doet zich namelijk voor als iets dat het niet is.

Technisch gezien is Leap-A of Oompa Loompa een combinatie van een Trojan, worm en virus. Het voegt zich toe aan uitvoerbare bestanden, wat een kenmerk van een virus is. Het probeert zichzelf van machine naar machine te verspreiden, kenmerkend voor een worm en het is malware omdat het schade aanricht op de computer. Apple raadt gebruikers daarom aan om alleen bestanden van betrouwbare websites en aanbieders te accepteren.

De kwaadaardige code verbergt zich in het bestand latestpics.tgz, wat een afbeelding van OS X 10.5 zou moeten zijn. Na het uitpakken van het bestand en het openen van de "afbeelding", installeert de malware zich op het systeem.

Eenmaal geinstalleerd doet Leap-A twee dingen. Het stuurt zichzelf naar iedereen in de iChat buddy list. Alle contacten krijgen de standaard iChat "transfer message" te zien, wat verborgen blijft voor de geinfecteerde gebruiker. Verder infecteert Leap-A allerlei Cocoa applicaties via een InputManager die in de directory van de gebruiker geinstalleerd wordt.

Elke keer dat een geinfecteerde Cocoa applicatie gestart wordt, zal Leap-A de OS X 10.4s Spotlight zoekfunctie gebruiken om de meest gebruikte programma's te zoeken. Zijn het Cocoa applicaties, dan worden die ook geinfecteerd. Cocoa is een ontwikkelomgeving voor OS X applicaties en wordt door de meeste Apple programma's en third party software gebruikt.

Gebruikers die met gezond verstand bestanden downloaden en openen lopen dus geen risico. Leap-A is ook niet het bewijs dat de Mac opeens kwetsbaarder voor virussen is geworden. Social engineering malware is altijd mogelijk geweest en zal altijd mogelijk blijven. Geen enkele Mac gebruiker zou zich dan ook zorgen moeten maken over Oompa Loompa, aldus Macworld.