Az Iservice trójai Mac OS X alapú rendszerek megfertőzésére képes, és elsősorban kalózszoftverek részeként próbál felkerülni a számítógépekre.
Az Iservice trójai eddig elsősorban az iWork09 alkalmazás kalózmásolataiban bukkant fel, de egyes esetekben már a fájlcserélőkön terjedő Photoshop szoftverek mellett is megtalálható. Többek között ezért is érdemes óvatosan bánni a fájlcseréléssel a Mac OS X esetében is. Amikor a trójai elindul, akkor egy hátsó kaput nyit a rendszereken, amelyeken keresztül a támadók jogosulatlanul férhetnek hozzá a számítógépeken tárolt adatokhoz, illetve egyes esetekben kártékony műveleteket hajthatnak végre. Az Iservice trójai a PowerPC és az x86 platformokon egyaránt működőképes.
Amikor az Iservice trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő könyvtárat:
/System/Library/StartupItems/iWorkServices - Letörli az alábbi állományt:
/tmp/.iWorkServices - Bemásolja a saját fájljait az alábbi könyvtárba:
/usr/bin/iWorkServices - Módosítja az alábbi fájlokat annak érdekében, hogy az operációs rendszer minden indulásakor be tudjon töltődni:
/System/Library/StartupItems/iWorkServices/iWorkServices
/System/Library/StartupItems/iWorkServices/StartupParameters.plist - A saját konfigurációs állományát dekódolja.
- Nyit egy hátsó kaput az 1024-es TCP porton keresztül, és várakozik a támadók parancsaira.
- Titkosítja az általa generált hálózati adatforgalmat.