Apple: iWork-Kopie verbreitet Trojaner!

Mac gilt allgemein als vollkommen sicheres Betriebssystem, jedoch gibt es hier und da doch ein paar Vorkommnisse, die diese Behauptung in Frage stellen.

Seit Anfang Januar wird von zahlreichen BitTorrent-Trackern und unseriösen Webseiten eine Kopie von Apples Layout- und Präsentationssoftware iWork 2009 verbreitet. Die Installationsroutine wurde in dieser Kopie um ein Trojaner-Pakage mit dem Dateinamen „iWorkServices.pkg“ erweitert, was den Anwender, der sich diese Software auf den Rechner läd alles andere als verzücken lässt!

Laut dem Antivirenhersteller Intego, wird der Anwender mit Mac OS X 10.5.2  nach einem Passwort gefragt, während er den die Software mit dem verstecktem Schädling auf den Rechner installiert. Hat das Opfer ein älteres Betriebssystem, kann sich der Trojaner völlig ungehindert im Rechner einnisten ohne, dass der Anwender auch nur irgendwas davon mitbekommt.

Der Schädling kopiert sich in die Liste der Systemstartobjekte und versucht mit dem Server Verbindung aufzunehmen. In wie weit er jedoch sonst noch Schaden anrichtet, ist zum derzeitigen Wissensstand noch nicht bekannt. Vermutet wird aber, dass er auf Befehle wartet, die ihn weitere Komponenten nachladen lassen.

Mitlerweile wird von mintestens 20.000 Anwendern gesprochen, die der gefälschten iWork Version zum Opfer gefallen sind, die Tendenz der Verbreitungsrate ist extrem hoch. Angeblich soll die Kopie bereits seit dem 8. Januar von Rechner zu Rechner wandern.

Glücklicherweise wurde mittlerweile jedoch auch eine Möglichkeit gefunden, den unliebsamen Trojaner selstständig wieder zu entfernen:

  1. (open Terminal.app)
  2. sudo su (enter password)
  3. rm -r /System/Library/StartupItems/iWorkServices
  4. rm /private/tmp/.iWirkServices
  5. rm /user/in/iWorkServices
  6. rm -r/Library/Receipts/iWorkServices.pkg
  7. kilall -9 iWorkServices

Diejenigen , die ebenfalls solch eine Kopie von Apple iWork besitzen, sollten ihre Umgebung nun unbedingt auf Malware untersuchen. Sollte jemand fündig werden, folgt den oben genannten Schritten und entfernt den Trojaner umgehend!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.