La comunità Mac ha vissuto ore di palpitazione per quello che è stato annunciato come il primo cavallo di troia disponibile per il sistema della mela. La notizia, divulgata da una casa produttrice di sistemi di sicurezza per Macitosh, è stata poi ridimensionata: il cavallo di troia era un semplice file dimostrativo e non si ravvisavano infenzioni in corso. Tuttavia, il sistema con cui il sedicente trojan può essere divulgato ha messo in luce una vulnerabilità dei sistemi Macitosh, vulnerabilità che potrebbe essere sfruttata per eseguire codice nocivo sui Mac all'insaputa dell'utente.
Ma andiamo con ordine. Le prime tracce del pseudo-trojan si hanno sui newsgroup di Usenet. Verso la fine di marzo si discuteva sul newsgroup comp.sys.mac.programmer.misc, a puro titolo sperimentale, delle possibilità di infettare attraverso un file MP3 un sistema equipaggiato con Mac OS X con Trojan o Virus. Un utente del newsgroup aveva inviato un file di 52 KByte contente un esempio del codice ("proof of concept" o "prototipo") da utilizzare per raggiungere questo scopo. Utilizzando ad arte il sistema di distribuzione dei pacchetti di Mac OS X, l'utente aveva creato un file MP3 compresso che conteneva anche del codice supplementare, eseguibile dai sistemi Macintosh. Il codice dell'esempio apriva solamente una finestra con un avviso e riproduceva il piccolo file MP3. Se poteva aprire una finestra, il file MP3 era anche in grado di eseguire del codice sul computer aggredito.
Il 6 Aprile il proof of concept arriva nei laboratori dei produttori di antivirus Symantec, Network Associates e Intego e arriva anche ad Apple. Il problema sembrò subito di poco conto e nessuna delle case produttrici di Antivirus, e nemmeno Apple, rilasciarano note immediate sul pericolo. Tuttavia qualcosa rimuginava nel fondo. La scelta del formato MP3 per veicolare il possibile trojan non era casuale: metteva al centro l'architettura di iTunes, il fortunato e diffuso sistema multimediale di Apple, e poteva suscitare un gran clamore.
L'8 aprile la Intego rilascia un primo comunicato in cui annuncia la scoperta del primo «cavallo di Troia per Mac OS X». Chiamato MP3Concept (o MP3Virus.Gen o MAC.Amphimix), il trojan viene caricato di responsabilità che forse non ha. L'unico esempio sino ad allora disponibile era il proof of concept pubblicato su Usenet, del tutto innocuo. Ma il trojan, secondo Intego, potrebbe «Cancellare file, distribuirsi attraverso messaggi e-mail e infettare altri file». Tanto basta a creare panico tra gli utenti Mac e una lunga serie di articoli su riviste specializzate.
Il Web inizia a popolarsi di commenti, alcuni scettici altri fiduciosi delle parole di Intego. Il 9 aprile Apple dichiara di essere a conoscenza del problema e di essere pronta ad indagare per risolverlo. In alcune comunità Mac Intego viene accusata di aver cavalcato l'isteria del momento per accrescere le vendite dei propri prodotti.
Il 9 aprile Intego è costretta a pubblicare un secondo, lungo documento di "Domande e Risposte" in cui vengono chiarite le posizioni dell'azienda riguardo al primo comunicato. Si specifica in modo più netto che il codice ricevuto dall'azienda era innocuo ma che potrebbe essere sfruttato per azioni nocive, si approfondiscono i dettagli tecnici e si argina il problema ai file compressi con estensione .ZIP o .SIT. Lo stesso giorno Symantec rilascia una scheda dello pseudo-trojan privandola della data e ridimensionandone di molto l'efficacia distruttiva.
Trend Micro emetterà un comunicato simile il 12 aprile.
La bolla si era sgonfiata. Molti siti di news aggiornano gli articoli che avevano accolto per intero le frasi di Intego e il problema viene ricondotto alla sua reale entità.
In ultima analisi, il problema può essere circoscritto ad una specifica ben definita. In alcuni casi è possibile includere dati nocivi all'interno di un file MP3 e indurre Mac OS X e Mac OS 9 ad eseguirli. Il Finder di Mac, sotto determinate circostanze, può essere indotto a visualizzare il file come se fosse un semplice MP3 e non un'applicazione contenente dati nocivi. Una volta che l'utente, fidandosi della natura specificata dal Finder, avvia il file MP3, i dati nocivi vengono eseguiti sul computer dell'utente, che si ritroa ad essere soggetto all'azione dei dati nocivi. Nel proof of concept distribuito online, i dati nocivi vengono scritti nella zona dedicata ai tag ID3.
