OSX.Iservice – Trojaner für den Mac

Geklautes iWork09 aus (P2P) Peer-to-Peer Netzwerken enthalten einen Trojaner. OSX.Iservice Es gibt ja ein freies Apple iWork ’09, die Probeversion können ihr direkt von Apple herunterladen und ist ungefährlich. Die böswillige Software hat im schlimmsten Fall Zugriff auf dein Bankkonto. (Panik!) Das Trojaner Paket enthält einige Teile des amtlichen Apple iWork 09, aber umfasst auch einen böswilligen Installer, der iWorkServices.pkg genannt wird.

Die infizierten Mac Systeme schließen sich zu einem Mac-Botnetz zusammen um gemeinsam DDoS-Attacken auszuführen oder Spam-Mails zu verschicken.

In contrast, the legitimate trial version of iWork ’09 that is available from Apple is named iWork09Trial.dmg and is slightly over 451MB. The Trojanized package contains some parts of the official Apple iWork ’09 trial version, but also includes a malicious installer named iWorkServices.pkg.
 
osxiwork2.jpg
 
When the Trojanized installer is executed, it also runs the malicious program iworkservices. The Trojan, OSX.Iservice, targets the Mac OS and is compiled as a Mach-O multi-architecture binary. This allows the Trojan to run natively on both PowerPC and x86 architectures.
 
osxiwork3.jpg
 
The Trojan first determines if it is the root user on the compromised computer and if not, it will end. Then, it checks to see if it was executed with the file name iWorkServices. If not, it will create the following folder:

/System/Library/StartupItems/iWorkServices

The Trojan then copies itself to both of the following locations:

/usr/bin/iWorkServices
/System/Library/StartupItems/iWorkServices

It then modifies the following file to ensure that it runs when the compromised computer restarts:

/System/Library/StartupItems/iWorkServices/StartupParameters.plist

The Trojan then restarts itself from its new location in
/System/Library/StartupItems/iWorkServices,
and decrypts an AES encrypted configuration file, which is located in
/private/tmp/.iWorkServices.
Finally, the Trojan acts as a back door and opens a port on the local host for connections. It then attempts to connect to the following remote hosts:

69.92.177.146:59201
qwfojzlk.freehostia.com:1024

(Quelle: symantec)

Hier könnte man schon mit Little Snitch vorbeugen!
Ich möchten hier nicht darüber urteilen, dass Leute Software illegal aus dem Netz beziehen. Dies muss jeder für sich selbst entscheiden. Also Vorsicht! Man weiss ja nie ob dieser Trojaner auch irgendwie anders eingeschleust wird, zum Beispiel über Freeware oder Shareware.

Noch Aktueller: OSX/Jahlav-C: Neuer Mac-Trojaner gibt sich als fehlender Videocodec aus

OS X 10.5.5 Update und das Kontextmenü

kontextmenue.gif Entweder täusche ich mich gewaltig, aber vor dem Update 10.5.5 war das Kontextmenü anders angeordnet. Mich hat schon immer sehr geärgert, dass der Eintrag „Öffnen mit…“ über der Information ist. Meines Erachtens war das vor 10.5.5 anders angeordnet.

Nun ist es wieder so wie bei 10.4 und das ist sehr ärgerlich. Denn wenn man mit der Maus in Richtung Information fährt, springt das „Öffnen mit“ auf und alle angeschlossenen Firewireplatten und davon habe ich jede Menge starten erstmal alle aus den Ruhezustand hoch. Das dauert und nervt gewaltig, genauso wenn man ein Programm öffnet und die angeschlossenen Firewireplatten fahren alle hoch.

Bis jetzt habe ich keine Lösung gefunden, im Kontextmenü die Einträge anders anzuordnen . Hat jemand eine Idee?

Apple Computer und der Terminator (Bootprobleme)

Am Montag ist mein G5 Dual 2.3 PPC komplett ausgefallen. Ich war am arbeiten, dann blieb der Rechner plötzlich komplett stehen, nichts reagierte mehr. Danach lies er sich nicht mehr booten, nur noch ein schwarzer Bildschirm.

G5.jpg>Am nächsten Tag baute ich die RAM aus und setzte sie wieder in einer anderen Reihenfolge ein und er startete. Glücklicherweise konnte ich noch einen kompletten Backup der Daten auf ein externes Laufwerk starten, der Backup dauerte zwar 5 Stunden aber immerhin kein Ausfall.

Ich hatte den RAM in Verdacht der das Problem verursachte und machte einen Neustart – bis zum heutigen Tag sehe ich nur den schwarzen Bildschirm, die Ventilatoren laufen zwar und die Festplatten starten hoch und greifen auf den Festplattenbootsektor zu, aber das war es auch schon. Die Festplatten und der RAM sind in Ordnung, das wurde getestet – alles andere wird vermutlich sehr teuer sein um es zu reparieren.

Gut das ich noch einen alten G4 habe und von der externen Platte starten kann, somit ist definitiv auch ein Softwarefehler nicht eine Ursache, denn auf dem G4 läuft alles perfekt, zwar sehr langsam, aber es läuft.

Beim Recherchieren im Internet bin ich auf viele User gestossen, die mit dem G5 dieses Problem hatten. Nachfrage bei anderen Kollegen ergab auch dort gab es einige Hardwareschäden – generell ein paar Wochen oder Monate nach der Garantie. Seitens Apple gab es keine Kulanzregelung, ausser grosse Firmen drohen mit Verzicht auf Appleprodukte – dann klappt es auch mit der Kulanz. Auch seitens von grösseren Händlern wurde bestätigt, das in den letzten Jahren die Produkte mehr Ausfallraten haben, deshalb läuft heute noch ein uralter G3 oder G4 Rechner und natürlich passt so gut wie kein Teil mehr in einen neuen Rechner (RAM, Grafikkarte, Festplatte).

Interessant: Die Mac mini gehen nach einem Jahr und einigen Wochen/Monate kaputt, meist Totalschaden und die grossen Arbeitsmaschinen, also die G5 nach 3 Jahren. Der AppleCare Protection Plan für Mac mini kostet 259.- CHF, das ist fast ein Drittel des Kaufpreises und wer macht das schon für einen Mac mini. Der AppleCare Protection Plan für Mac Pro/Power Mac kostet 399.- CHF für meinen Computer sind das 10% des Kaufpreises. Hätte mir aber nicht geholfen, da der Rechner nach 3 Jahren und 2 Monaten ausgefallen ist.

Terminator?
Da frage ich mich, ob hier nicht ein System dahintersteckt. Denn der Hersteller verdient nur mit neuen Rechnern, ich möchte Apple keine planerische Absicht unterstellen um mehr Hardware zu verkaufen – aber auffällig ist es allemal. Natürlich ist nicht jeder Computer gleichermassen betroffen, das könnte aber auch an den Produktionsstätten in China liegen. Man weiss ja welche Qualität die Chinaware hat. Ärgerlich ist es allemal.

Update 19.08.2008:
Es ist doch das Logic-Board, kostet mit Arbeitszeit 1100.- CHF – nicht gerade billig, aber wenn er die nächsten 3 Jahre wieder ohne Probleme läuft wäre das in Ordnung. Einen gebrauchten Mac Dual mit einem 2.3 GHZ Prozessor auf dem Gebrauchtmarkt zu finden ist sehr schwierig, das wäre die andere Alternative gewesen. Natürlich hätte ich mir auch einen neuen Mac Pro kaufen können.

Übrigens haben mir einige Händler bestätigt, in den letzten Jahren haben tatsächlich die Hardwareschaden zugenommen. Auch mit der Kulanz von Apple bin ich weitergekommen, wenn man den AppleCare Protection Plan gekauft hat schaut es mit der Kulanz viel besser aus, wohlgemerkt auch nach der Garantiezeit.

Update 23.08.08:
In der Zwischenzeit hat sich herausgestellt, dass die untere Prozessorkarte defekt ist und nicht das Logic Board. Eigentlich kein Wunder bei den superheissen Prozessoren.

Update 26.08.08:
Der G5 ist wieder bei mir, keine Bootprobleme mehr, nur der Rechner friert beim Arbeiten zwischen 5 und 60 Minuten irgendwann ein. So hatte alles angefangen bis nichts mehr ging. Also nochmals die RAM durchtesten, die kann ich mittlerweile ausschliessen. Den Rechner mit verschiedenen Systemen gestartet, ob Tiger oder Leopard, der Rechner bleibt hängen. Eine andere Festplatte mit jungfräulichen System – der Rechner bleibt hängen.
G5 geht wieder zurück zum Händler – nochmals eine neue (tatsächlich sind es gebrauchte) Prozessorkarte. 1200.- CHF hat der Spass gekostet!

Update: 02.09.2008:
Diesmal hat Apple eine gute Prozessorkarte geschickt! :-)
Er läuft wieder einwandfrei und so schön leise gegenüber dem alten G4, der wie ein Staubsauger dröhnt. Und die Geschwindigkeit – ein Genuss.

Update 17.07.2010:
Fast 2 Jahre später. Nun ist wieder das gleiche passiert – gleiche Symptome, habe es hier ja nochmals nachlesen können. Diesmal stecke ich nichts mehr rein und warte auf die neue Mac Pro Generation. Arbeite mit meinem Macbook Pro – ist genauso schnell.

Update OSX 10.5.3

Nun ist das heiss ersehnte Update endlich da. 10.5.2 lief ja mit angezogener Handbremse, das ist mittlerweile mit dem Update behoben. Die Adobeprodukte funktionieren einwandfrei, dafür lief der Dongle von VektorWorks nicht mehr, Motion und Final Cut Pro lässt sich nicht mehr starten – echt toll. Die Firewireplatten gehen erst nach ewiger Zeit in den Ruhezustand, Spotlight wurde eher schlechter usw.

Irgendwie erinnert mich das doch an die typische Microsoftpolitik, da ist Apple mittlerweile kein bisschen besser.
Am besten zurück zu Tiger, da lief wenigstens alles gut und die 0,1% wo Leopard schneller ist kostet hinterher 20% Nerven.

Mit dem Final Cut Probleme bin ich nicht der einzige, nur mein FCP ist die alte Version: Final Cut 6.0.3 crashes unexpectedly in OS X 10.5.3 Habe durch Zufall die Lösung gefunden, hatte doch nichts mit dem Update 10.5.3 zu tun gehabt, denn das Problem lag hier: Final Cut Pro 5 may fail to open with 64 or more QuickTime components installed. Motion startet nun auch wieder: :-)