Az Iservice trójai Mac OS X alapú rendszerek megfertőzésére képes, és elsősorban kalózszoftverek részeként próbál felkerülni a számítógépekre.

Az Iservice trójai eddig elsősorban az iWork09 alkalmazás kalózmásolataiban bukkant fel, de egyes esetekben már a fájlcserélőkön terjedő Photoshop szoftverek mellett is megtalálható. Többek között ezért is érdemes óvatosan bánni a fájlcseréléssel a Mac OS X esetében is. Amikor a trójai elindul, akkor egy hátsó kaput nyit a rendszereken, amelyeken keresztül a támadók jogosulatlanul férhetnek hozzá a számítógépeken tárolt adatokhoz, illetve egyes esetekben kártékony műveleteket hajthatnak végre. Az Iservice trójai a PowerPC és az x86 platformokon egyaránt működőképes.

Vírushíradó - Kalózszoftverekben terjed az Iservice trójai

Amikor az Iservice trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő könyvtárat:
    /System/Library/StartupItems/iWorkServices
  2. Letörli az alábbi állományt:
    /tmp/.iWorkServices
  3. Bemásolja a saját fájljait az alábbi könyvtárba:
    /usr/bin/iWorkServices
  4. Módosítja az alábbi fájlokat annak érdekében, hogy az operációs rendszer minden indulásakor be tudjon töltődni:
    /System/Library/StartupItems/iWorkServices/iWorkServices
    /System/Library/StartupItems/iWorkServices/StartupParameters.plist
  5. A saját konfigurációs állományát dekódolja.
  6. Nyit egy hátsó kaput az 1024-es TCP porton keresztül, és várakozik a támadók parancsaira.
  7. Titkosítja az általa generált hálózati adatforgalmat.