A Mac OS X-alapú számítógépek megfertőzésére alkalmas Iservice trójainak felbukkant legújabb variánsa, amely néhány újabb trükkel is próbálkozik.

Az Iservice trójai első változata néhány nappal ezelőtt kezdett terjedni egyes fájlcserélő hálózatokon keresztül. A kártékony program akkor elsősorban az Apple iWork \\”09 alkalmazás kalózmásolataiban jelent meg, és így próbált minél több Macintosh rendszerre felkerülni. Nem sokkal később már az Adobe Photoshop illegális másolatai mellett is megtalálható volt, míg a legújabb variáns a DivX ismertségét is megpróbálja kihasználni a minél gyorsabb terjedése érdekében. A kártevő többnyire a BitTorrenten keresztül igyekszik a kiszemelt számítógépekre felkerülni.

Az Iservice.B — hasonlóan az elődjéhez — mind a PowerPC, mind az x86  architektúrák esetében működőképes. A Symantec jelentése szerint leggyakrabban a következő fájlok kíséretében terjed:

  • Adobe Photoshop CS4 11.0 Extended (Mac OS X) Includes Crack+serial (Works 100%).zip
  • Adobe Photoshop CS4 11.0 Retail.dmg
  • Adobe CS4 Crack(intel)
  • PS CS4 Serial Number *(Mac).pdf

Vírushíradó - Egyre nagyobb tudású az Iservice trójai

Amikor az Iservice.B trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Kitömöríti a saját fájlját, és létrehozza a következő állományt:
    /var/temp/[véletlenszerű fájlnév]
  2. Megjelenít egy felbukkanó ablakot, amelynek segítségével root jogosultságokhoz próbál hozzájutni.
  3. Megnyit egy crack programot, amely az Adobe Photoshop törésére használható.
  4. Létrehozza a következő könyvtárat.
    /System/Library/StartupItems/DivX
  5. Bemásolja a saját állományát az alábbi könyvtárba:
    /usr/bin/DivX
  6. Módosítja a következő fájlokat:
    /System/Library/StartupItems/DivX/DivX
    /System/Library/StartupItems/DivX/StartupParameters.plist
  7. Dekódolja a korábban AES-titkosítással ellátott konfigurációs állományát.
  8. Nyit egy hátsó kaput az 59201 vagy a 1024-es TCP porton keresztül, majd várakozik a támadók parancsaira.