02 октября 2009 - 00:40
Компания Symantec предупреждает всех пользователей Mac о возможной угрозе заражения и создании первой ботнет-сети на Mac. Специалисты компании выявили два вредоносных кода, которые «зомбируют» макинтош и предоставляют ресурсы компьютера ботнет-сети. Имя «заразе» — OSX.Iservice и OSX.Iservice.B (другие компании именуют их как OSX/iWorkServ.A , OSX/IWService, OSX/iWorkS-A, OSX_KROWI.A, OSX/iWorkS-Fam или OSX/Krowi.A), которые распространяются вместе с пиратскими копиями пакета iWork ’09 и Adobe Photoshop CS4 на популярных торрент-трекерах интернета. Об этих вирусах мы уже писали ранее.
Проблема в том, что сейчас начали появляться первые признаки создания первой сети Mac-ботнет, в интернете ее уже успели «окрестить» как iBotnet. Symantec сообщает о заражении тысяч машин, это пока очень маленькая цифра (например, Windows ботнет-сети состоят из миллионов PC), но уже заставляет побеспокоиться, такого еще у пользователей Mac не было.
Зараженный iWork на трекерах имеет имя iWork09.zip и размер 450Мб, не зараженная версия называется iWork09Trial.dmg и имеет размер 451Мб. В зараженном программе в файле iWorkServices.pkg содержится троян размером 404Кб, который после установки копируется в следующие папки:
- /System/Library/StartupItems/iWorkServices
- /usr/bin/iWorkServices
- /System/Library/StartupItems/iWorkServices
После запуска троян модифицирует файл:
- /System/Library/StartupItems/iWorkServices/StartupParameters.plist
После этого он открывает некоторые порты на компьютере и далее подключается к сети.
Интересно, что встроенный антивирус Snow Leopard умеет ловить некоторые разновидности OSX.iservice, но пока не ясно тот ли этот троян.
Лекарство
Открываем терминал (Программы ▸ Служебные утилиты ▸ Терминал) и вводим команду:
ls -la /System/Library/StartupItems/iWorkServices
Если в списке автозагрузки отсутствует iWorkServices, значит ваш Mac не заражен. Если есть, то “прибьем” троян, делается это следующими командами в том же терминале.
sudo su
rm -r /System/Library/StartupItems/iWorkServices
rm /private/tmp/.iWorkServices
rm /usr/bin/iWorkServices
rm -r /Library/Receipts/iWorkServices.pkg
killall -9 iWorkServices
Помимо терминала «заразу» можно победить с помощью программы iWorkServices Trojan Removal Tool (519Кб), которая все сделает за вас.
Для справки. Ботнет — огромная сеть, состоящая из тысяч или миллионов компьютеров, которые следуя запросам с сервера (нескольких серверов) или от других участников сети выполняют определенные действия, например, создают постоянные запросы к сайтам, тем самым «ложат» сервер или рассылают спам, иногда просто отправляют все пароли злоумышленникам. До последнего времени ботнет на Mac не существовало.