Pozor na virus v iWork 09!
Autor: Vláďa Janeček (pro SuperApple.cz napsal 1001 článků)
Vláďa používá počítače Apple již šestnáct let a nestydí se za to a již více než deset let pracuje jako IT žurnalista. Všechen svůj čas věnuje komunitě prostřednictvím tohoto magazínu a je rád, že se vám líbí a měsíčně jej navštíví více než 80 000 unikátních návštěvníků!
Kradete software místo toho, abyste si jej normálně zakoupili? Pak se mějte pořádně na pozoru. A nemám teď na mysli BSA či jinou samozvanou protipirátskou organizace, ale obyčejný počítačový virus. Přesněji řečeno trojský kůň s až roztomilým názvem OSX.Trojan.iServices.A.
Tento virus je přítomný ve většině nelegálních instalací nového kancelářského balíku iWork 09, který je k dispozici na torrent sítích i na výměnných stránkách typu rapidshare.com.
Trojský kůň OSX.Trojan.iServices.A nakazil během několika málo dní více než dvacet tisíc maců.
Tento vir je docela chytrý:existuje jako balíček uvnitř instalátoru balíku iWork 09 (tedy jej nemůžete vidět, dokud si nerozbalíte obsah celého balíku). Jakmile spustíte instalaci a zadáte administrátorské heslo pro její provedení (na kterém není nic podezdřelé, zadáváte jej vlastně správně instalátoru iWorku), zajistí virus své aktuální spouštění z adresáře /System/Library/StartupItems s právy superuživatele roota z BSD subsystému.
Jakmile je trojan aktivní, připojí se na domovský server a čeká na příkazy svého tvůrce.
Pokud jej již v počítači máte, styďte se :) Odstranit prostým smazáním jej nelze, virus bude aktivní i při nouzovém nastartování počítače pouze do textové řádky. Bezpečně odstranit jej však lze pomocí aplikaci VirusBarrier od společnosti Intego.
Pamatujte: nebudete-li krást, nic podobného vám nehrozí. Po úspěchu a rychlém rozšíření viru OSX.Trojan.iServices.A se dá očekávat strmý nárůst podobných pokusů o infiltraci vašich počítačů.
Doplněno: jako funkční se ukazuje také tento jednorázový nástroj. Díky Honzovi Rybářovi za tip v diskusi.
Není to virus ale trojan, to je dost podstatnej rozdíl. A lze ho bez problémů odstranit z konzole.
1) (open Terminal.app)
2) sudo su (enter password)
3) rm -r /System/Library/StartupItems/iWorkServices
4) rm /private/tmp/.iWorkServices
5) rm /usr/bin/iWorkServices
6) rm -r /Library/Receipts/iWorkServices.pkg
7) killall -9 iWorkServices
Tohle je z macrumors. Osobně bych pro jistotu posunul bod 7 mezi bod 2 a 3.
Zkušebně jsem ho instalovat na testovacího miniho a i po provedení tohoto postupu byl po restartu do GUI opět aktivní (zkoušel jsem to i ze single user režimu). Intego hovoří o čisté reinstalaci systému. Má někdo praktickou zkušenost, že to zabralo?
Ad terminologie: trojan s možností vykonání vzdáleného příkazu nebo spuštění vlastního kódu se IMHO od viru neliší :) Kdy začne být virem: až mu dá autor příkazem smazat data z disku?
Vir se sám šíří, trojan jen čeká o destruktivní činnosti to určitě není.
Z wiki:
Jako virus se v oblasti počítačové bezpečnosti označuje program, který se dokáže sám šířit bez vědomí uživatele.
Trojský kůň je uživateli skrytá část programu nebo aplikace s funkcí, se kterou uživatel nesouhlasí (typicky je to činnost škodlivá).
Coronair: v této oblasti počítačové bezpečnosti bych spíše řekl, že wiki příliš nerespektuje současné trendy, kdy se rozdíly mezi jednotlivými typy smývají. Vnímám to zkrátka vše jako mallware, tedy škodlivý software – a virus mi přijde jako výstižnější zkrácený název, který je všem srozumitelný. Prominete mi toto zjednodušení?
Podle mne jde o časovanou bombu. I když je stále uživatelů macu mnohem méně než okýnkářů, tvůrci virů a další havěti si brzy uvědomí, že ten zlomek mekařů vůbec nemá antivirus a často ani aktivovaný firewall. Pak to začne být vzrůšo :)
Rozdil mezi trojanem a virem je naprosto zasadni a nemel by se zamenovat. Virus se nejen siri sam, ale zejmena bez instalace uzivatelem, kdezto trojan se tvari jako neco jineho, nez ve skutecnosti je a pro jeho spusteni je nutna manualni akce uzivatele. (Idealne zadani hesla adminstratora)
Zatimco na OS X zadne viry nejsou, trojanu uz je asi 5.
Našel jsem tento free remover – funguje vám, co jste nakaženi?
http://macscan.securemac.com/iworkservices-trojan-horse-removal-tool-free-psa-tool-for-mac-os-x/
Nástroj na odstranění viru: http://macscan.securemac.com/files/iWorkServicesTrojanRemovalTool.dmg
Rober Černý: Jenže tato věc se netváří jako něco jiného a neinstaluje ji uživatel. Uživatel instaluje iWork 09 nemodifikovaným instalátorem, vir pouze čeká až získá nadřazená instalace práva a pak se sám spustí. IMHO se fakt choví více jak virus, než trojan – on si na nic nehraje, on čeká na vhodné podmínky…
Jan Rybar: hlasim, ze na testovacím stroji tento nástroj zabral. Doporučuji všem!
aloha…no za tu dobu co jsem jablíčkář, jsem nikdy nic s virama atd neřešil, a ted když se naše posvátný jablíčko dostává k čim dál více lidem, tak už je asi načase se o viry zajímat..poradte prosim jaký kdo používá antivir a jaký je nejlepší??? díky
Vlada janecek: prave naopak. Tvari se iWork a nainstaluje se neco jineho.
Jan Rybar: funguje funguje…. doporucuji :)
Aktuální Apple novinky
Rubriky
Podpořte SuperApple.cz přes PayPal
Komunitní reklama
Výměnná reklama
Nejnovější komentáře
Naše Facebook skupina
Zajímavé odkazy
WebArchiv – archiv českého webu
ProApple bazar
Něco o nás
Naše vydavatelství začalo 1. ledna 2009 vydávat internetový magazín SuperApple.cz, který se věnuje světu počítačů, mobilních telefonů a multimediálních přehrávačů společnosti Apple. Po roce na trhu se stal natolik nedílnou součástí našich životů, že jsme se rozhodli mu věnovat naplno. A nejen mu: další tématické magazíny o Apple momentálně připravujeme, stejně jako samostatnou edici tématických knih.
Takže ano: jsme mladí, dynamičtí, rostoucí a beznadějně jableční...
Nejvíce komentované
Nejčtenější články