ウイルス対策ソフトベンダー各社によれば、Mac OS Xを標的にしたウイルスが初めて登場した。今回発見されたのは「Leap.A」などと呼ばれるウイルスで、インスタントメッセージングソフト「iChat」を経由して感染する。

Leap.Aは、TGZ形式の圧縮ファイルとして送信されるウイルス(ワーム)で、iChatを利用して感染を拡大する。ソフォスでは「OSX/Leap-A」、シマンテックでは「OSX.Leap.A」、F-Secureでは「Leap.A」、マカフィーでは「osx/leap」などの名称となっており、ウイルスなどのマルウェアの共通識別番号を付与しているCMEでは、「CME-4」を与えている。

ワームは「latestpics.tgz」という名称で受信される。この圧縮ファイルにはJPEG形式のファイルを装ったアイコンファイルとウイルス本体が同梱されており、一見すると画像ファイルのように見える。これを実行するとウイルスに感染する。

感染するとワームは、OS Xの検索プログラム「Spotlight」を利用してマシン起動と同時に起動し、ほかに起動するアプリケーションをすべて監視、iChatが起動すると、そのiChatのバディリスト(アドレス帳)の連絡先すべてに自身を送信して感染を拡大しようとする。

通常、iChat経由でファイルが送信される際には受信者側が許諾するかどうかを決められるので、受信拒否や、受信してもファイルを開かずに削除すれば感染はしない。

実行されると、このワームは「/tmp」フォルダに自身をコピーし、何らかのバイナリに感染、そのバイナリのリソースフォークに感染のマーカーとして「oompa」というテキストを書き込むという。ただ、Fortinetによればこのワームのコードにはバグがあり、正しく実行されない模様だ。なおワームの実行には管理者権限が必要とされている。

ソフォスは今回のワームがOS Xを対象とするものとして初めてのものだったことから「Windowsユーザーと同様、出自が不明のプログラムを実行させないように」と注意を呼びかけている。シマンテックは、「バディリスト上の誰かから送られてきたファイルであっても、ファイル受信の許可をしないこと」とアドバイスしている。

マカフィーによれば、Leap.AはPowerPCベースのMac OS Xで感染するという。