Vírushíradó – Kalózszoftverekben terjed az Iservice trójai

Az Iservice trójai Mac OS X alapú rendszerek megfertőzésére képes, és elsősorban kalózszoftverek részeként próbál felkerülni a számítógépekre.

Az Iservice trójai eddig elsősorban az iWork09 alkalmazás kalózmásolataiban bukkant fel, de egyes esetekben már a fájlcserélőkön terjedő Photoshop szoftverek mellett is megtalálható. Többek között ezért is érdemes óvatosan bánni a fájlcseréléssel a Mac OS X esetében is. Amikor a trójai elindul, akkor egy hátsó kaput nyit a rendszereken, amelyeken keresztül a támadók jogosulatlanul férhetnek hozzá a számítógépeken tárolt adatokhoz, illetve egyes esetekben kártékony műveleteket hajthatnak végre. Az Iservice trójai a PowerPC és az x86 platformokon egyaránt működőképes.

Amikor az Iservice trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő könyvtárat:
   /System/Library/StartupItems/iWorkServices
2. Letörli az alábbi állományt:
   /tmp/.iWorkServices
3. Bemásolja a saját fájljait az alábbi könyvtárba:
   /usr/bin/iWorkServices
4. Módosítja az alábbi fájlokat annak érdekében, hogy az operációs rendszer minden indulásakor be tudjon töltődni:
   /System/Library/StartupItems/iWorkServices/iWorkServices
   /System/Library/StartupItems/iWorkServices/StartupParameters.plist
5. A saját konfigurációs állományát dekódolja.
6. Nyit egy hátsó kaput az 1024-es TCP porton keresztül, és várakozik a támadók parancsaira.
7. Titkosítja az általa generált hálózati adatforgalmat.