OSX.Iservice – Trojaner für den Mac

Geklautes iWork09 aus (P2P) Peer-to-Peer Netzwerken enthalten einen Trojaner. OSX.Iservice Es gibt ja ein freies Apple iWork ’09, die Probeversion können ihr direkt von Apple herunterladen und ist ungefährlich. Die böswillige Software hat im schlimmsten Fall Zugriff auf dein Bankkonto. (Panik!) Das Trojaner Paket enthält einige Teile des amtlichen Apple iWork 09, aber umfasst auch einen böswilligen Installer, der iWorkServices.pkg genannt wird.

Die infizierten Mac Systeme schließen sich zu einem Mac-Botnetz zusammen um gemeinsam DDoS-Attacken auszuführen oder Spam-Mails zu verschicken.

In contrast, the legitimate trial version of iWork ’09 that is available from Apple is named iWork09Trial.dmg and is slightly over 451MB. The Trojanized package contains some parts of the official Apple iWork ’09 trial version, but also includes a malicious installer named iWorkServices.pkg.
 
osxiwork2.jpg
 
When the Trojanized installer is executed, it also runs the malicious program iworkservices. The Trojan, OSX.Iservice, targets the Mac OS and is compiled as a Mach-O multi-architecture binary. This allows the Trojan to run natively on both PowerPC and x86 architectures.
 
osxiwork3.jpg
 
The Trojan first determines if it is the root user on the compromised computer and if not, it will end. Then, it checks to see if it was executed with the file name iWorkServices. If not, it will create the following folder:

/System/Library/StartupItems/iWorkServices

The Trojan then copies itself to both of the following locations:

/usr/bin/iWorkServices
/System/Library/StartupItems/iWorkServices

It then modifies the following file to ensure that it runs when the compromised computer restarts:

/System/Library/StartupItems/iWorkServices/StartupParameters.plist

The Trojan then restarts itself from its new location in
/System/Library/StartupItems/iWorkServices,
and decrypts an AES encrypted configuration file, which is located in
/private/tmp/.iWorkServices.
Finally, the Trojan acts as a back door and opens a port on the local host for connections. It then attempts to connect to the following remote hosts:

69.92.177.146:59201
qwfojzlk.freehostia.com:1024

(Quelle: symantec)

Hier könnte man schon mit Little Snitch vorbeugen!
Ich möchten hier nicht darüber urteilen, dass Leute Software illegal aus dem Netz beziehen. Dies muss jeder für sich selbst entscheiden. Also Vorsicht! Man weiss ja nie ob dieser Trojaner auch irgendwie anders eingeschleust wird, zum Beispiel über Freeware oder Shareware.

Noch Aktueller: OSX/Jahlav-C: Neuer Mac-Trojaner gibt sich als fehlender Videocodec aus

Eine Antwort auf „OSX.Iservice – Trojaner für den Mac“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*