Geklautes iWork09 aus (P2P) Peer-to-Peer Netzwerken enthalten einen Trojaner. OSX.Iservice Es gibt ja ein freies Apple iWork ’09, die Probeversion können ihr direkt von Apple herunterladen und ist ungefährlich. Die böswillige Software hat im schlimmsten Fall Zugriff auf dein Bankkonto. (Panik!) Das Trojaner Paket enthält einige Teile des amtlichen Apple iWork 09, aber umfasst auch einen böswilligen Installer, der iWorkServices.pkg genannt wird.
Die infizierten Mac Systeme schließen sich zu einem Mac-Botnetz zusammen um gemeinsam DDoS-Attacken auszuführen oder Spam-Mails zu verschicken.
In contrast, the legitimate trial version of iWork ’09 that is available from Apple is named iWork09Trial.dmg and is slightly over 451MB. The Trojanized package contains some parts of the official Apple iWork ’09 trial version, but also includes a malicious installer named iWorkServices.pkg.
When the Trojanized installer is executed, it also runs the malicious program iworkservices. The Trojan, OSX.Iservice, targets the Mac OS and is compiled as a Mach-O multi-architecture binary. This allows the Trojan to run natively on both PowerPC and x86 architectures.
The Trojan first determines if it is the root user on the compromised computer and if not, it will end. Then, it checks to see if it was executed with the file name iWorkServices. If not, it will create the following folder:
/System/Library/StartupItems/iWorkServices
The Trojan then copies itself to both of the following locations:
/usr/bin/iWorkServices
/System/Library/StartupItems/iWorkServices
It then modifies the following file to ensure that it runs when the compromised computer restarts:
/System/Library/StartupItems/iWorkServices/StartupParameters.plist
The Trojan then restarts itself from its new location in
/System/Library/StartupItems/iWorkServices,
and decrypts an AES encrypted configuration file, which is located in
/private/tmp/.iWorkServices.
Finally, the Trojan acts as a back door and opens a port on the local host for connections. It then attempts to connect to the following remote hosts:
69.92.177.146:59201
qwfojzlk.freehostia.com:1024
(Quelle: symantec)
Hier könnte man schon mit Little Snitch vorbeugen!
Ich möchten hier nicht darüber urteilen, dass Leute Software illegal aus dem Netz beziehen. Dies muss jeder für sich selbst entscheiden. Also Vorsicht! Man weiss ja nie ob dieser Trojaner auch irgendwie anders eingeschleust wird, zum Beispiel über Freeware oder Shareware.
Noch Aktueller: OSX/Jahlav-C: Neuer Mac-Trojaner gibt sich als fehlender Videocodec aus
THX!