Новый пакет программ iWork '09 для маков, представленный на MacWorld 2009, буквально в тот же день появился на торрентах. Естественно, это была пиратская версия, но самое интересное заключается в другом. Популярный пакет программ под MacOS шел с «довеском» в виде трояна OSX.Trojan.iServices.A. По оценкам экспертов из компании Intego, заражено около 20 000 компьютеров.
Троян прописывается в автозапуск и получает полные права, так что вполне может устанавливать дополнительный вредоносный код и модифицировать установленные приложения.
Хорошая новость заключается в том, что сам по себе троян не распространяется, установить его можно только с пиратской копией iWork '09. Так что будьте бдительны!
UPD: Нашлась новость, в которой товарищ утверждает, что заразился выкачав trial версию с торрент-трекеров вместо официального сайта. Там же приводятся некоторые подробности по симптомам.
UPD 2: Способы обнаружения и борьбы (спасибо ilmarinen)
1. Перед установкой iWork '09 проверьте нет ли там пакета iWorkServices.pkg (это собственно и есть довесок с трояном).
2. Если установили, но не уверены в наличии трояна:
1. (открыть Terminal.app)
2. sudo su (ввести пароль)
3. ls -la /System/Library/StartupItems/iWorkServices
Если говорит «No such file or directory». Трояна нет.
3. Если уже получили трояна:
1. (открыть Terminal.app)
2. sudo su (ввести пароль)
3. rm -r /System/Library/StartupItems/iWorkServices
4. rm /private/tmp/.iWorkServices
5. rm /usr/bin/iWorkServices
6. rm -r /Library/Receipts/iWorkServices.pkg
7. killall -9 iWorkServices
Троян прописывается в автозапуск и получает полные права, так что вполне может устанавливать дополнительный вредоносный код и модифицировать установленные приложения.
Хорошая новость заключается в том, что сам по себе троян не распространяется, установить его можно только с пиратской копией iWork '09. Так что будьте бдительны!
UPD: Нашлась новость, в которой товарищ утверждает, что заразился выкачав trial версию с торрент-трекеров вместо официального сайта. Там же приводятся некоторые подробности по симптомам.
UPD 2: Способы обнаружения и борьбы (спасибо ilmarinen)
1. Перед установкой iWork '09 проверьте нет ли там пакета iWorkServices.pkg (это собственно и есть довесок с трояном).
2. Если установили, но не уверены в наличии трояна:
1. (открыть Terminal.app)
2. sudo su (ввести пароль)
3. ls -la /System/Library/StartupItems/iWorkServices
Если говорит «No such file or directory». Трояна нет.
3. Если уже получили трояна:
1. (открыть Terminal.app)
2. sudo su (ввести пароль)
3. rm -r /System/Library/StartupItems/iWorkServices
4. rm /private/tmp/.iWorkServices
5. rm /usr/bin/iWorkServices
6. rm -r /Library/Receipts/iWorkServices.pkg
7. killall -9 iWorkServices
