Individuata una versione pirata di iWork '09 con Trojan

Pubblicato: 23 gen 2009 da Alessandra

iworkinfect Intego ha scoperto un “Cavallo di Troia” chiamato OSX.Trojan.iServices nascosto in una versione pirata di iWork ‘09, che pare sia attualmente in distribuzione tramite i tracker BitTorrent.

Nel pacchetto si trova un componente “extra” denominato iWorkServices (il Trojan) che si installa con privilegi di amministratore e quindi può crare danni in tutto il Mac OS X. Ma non è finita qui, il Trojan si connette via internet ad un server remoto di un hacker per installare software aggiuntivi, sempre secondo quanto riferisce Intego.

Trattandosi di un Trojan e non di un virus, non c’è pericolo di contagio da un Mac ad un altro (si viene infettati solo installando la copia pirata di iWork ‘09).

Per vedere se si è infetti, bisogna andare in System/Library/StartupItems e controllare se c’è un file chiamato iWorkServices. L’eliminazione del Trojan però è dolorosa perchè bisogna riformattare l’hard disk dal momento che qualche altra applicazione del sistema operativo potrebbe essere stata contagiata. Ovviamente, il reinstallo non deve essere eseguito da una copia di backup, come quella di Time Machine, ma bisogna utilizzare i dischi originali, almeno per quanto riguarda i software.

(3 Voti | Media: 5 su 5)

43 commenti

Categorie

Articoli simili

Addio alle versioni di prova di iWork e Aperture del 17 apr 2012

Disponibile iWorkServices Trojan Removal Tool per rimuovere il Trojan di iWork '09 del 26 gen 2009

Symantec: rischio "basso" per il Cavallo di Troia di iWork '09 del 26 gen 2009

Disponibile la versione trial di iWork '09 del 07 gen 2009

Disponibile una versione trial di Aperture del 03 nov 2006

Argomenti Simili

iwork, sicurezza, torrent, virus

Gallerie Correlate

Commenti dei lettori

(Inserisci un commento - Nascondi commenti anonimi)

robydrum
23 gen 2009 - 11:23 - #1

4 punti

…il prezzo del successo…fino ad un paio di anni fa nessuno si sarebbe sognato di inserire un trojan in un programma per mac…
Avellino22
23 gen 2009 - 11:38 - #2

-1 punto

come si fa a capire se siamo infetti???
Alessandra Melablog
23 gen 2009 - 11:40 - #3

1 punto

Bisogna andare in System/Library/StartupItems e vedere se c’è un file chiamato iWorkServices
ragugo
23 gen 2009 - 11:43 - #4

-4 punti

ma può essere definito virus uno script malevolo che non si autopropaga? Che speranza di vita può avere?
Giu$o
23 gen 2009 - 11:43 - #5

0 punti

Il rischio di scaricare torrent pirata è anche quello, nessuna sorpresa quindi…
Mark Renton
23 gen 2009 - 11:51 - #6

0 punti

http://www.melablog.it/post/7735/iwork-09-su-dvd-non-ha-bisogno-del-seriale
fabrizio88
23 gen 2009 - 12:00 - #7

0 punti

Bata acquistarlo….. o al max max scaricare il demo e inserire poi un serial…
gigigigigi
23 gen 2009 - 12:00 - #8

4 punti

certo che bisogna proprio essere dei babbei per scaricare da bit torrent un qualcosa che e’ gia’ disponibile dal sito ufficiale della apple… la versione trial diventa definitiva solo aggiungendo un serial (e non dovro’ certo essere io a spiegarvi dove e come trovare il serial)
hellDor
23 gen 2009 - 12:01 - #9

1 punto

Beh, iWork costa 79€, alla peggio 99…
Non vedo la “necessità” di scaricarlo in versione pirata.. sarò scemo.. ma magari non è per tutti così.. boh.. o_O
drive.01
23 gen 2009 - 12:01 - #10

0 punti

in alcuni casi come questo è davvero palese che le softwarehouse produttrici di antivirus, sono loro stesse a diffondere i malware per poter vendere i loro programmi

peccato che inserire un trojan nella versione pirata di iwork e distribuirla su torrent sia la cosa più stupida che potevano fare in quanto apple stessa distribuisce la versione trial sanissima di iwork sul proprio sito ufficiale
Zandalus
23 gen 2009 - 12:26 - #11

0 punti

Se cerchi il seriale di iWork trovi un file “[MAC] seriale iwork 09.rtf ” e se provi ad aprirlo ti chiede la password di amministratore, e se lo metti ti mette il trojan…
Ora, bisogna essere anche un pò stupidi per mettere la password di amministratore quando apri un file di testo :P
::: FREEWARE :::
23 gen 2009 - 12:36 - #12

0 punti

.
questo spiega perché qualche tempo fa Apple consigliò per la prima volta (ma si rimangiò subito l’affermazione) di utilizzare un antivirus
.
Alessandra Melablog
23 gen 2009 - 12:39 - #13

0 punti

@Zandalus: oltre al file che hai indicato tu, come spiegato nell’articolo, ne esiste un altro che è una versione modificata di iWork con all’interno il Trojan. Quando installi iWork, devi digitare la password e quindi automaticamente abiliti anche il Trojan.
miniMAC
23 gen 2009 - 12:46 - #14

2 punti

Ciao A tutti ho fatto un articolo qui dove potete trovare l’indirizzo per eseguire la patch che serve a togliere questo trojan senza dover perforza formattare il disco.
http://www.minimamente.com/2009/01/primo-trojan-per-mac-attenzione-apple-rimuovere-virus/
Nikobu
23 gen 2009 - 12:52 - #15

0 punti

Non mi pare una gran bella notizia! Intego inizia a interessarsi di trojan per MacOSX … a buon intenditore poche parole
Dani_Dan
23 gen 2009 - 13:22 - #16

1 punto

ma da che mondo è mondo se proprio si vuole fare i furbi basta scaricarsi la versione di prova dal sito Apple, più ufficiale di cosi!
Si vede proprio che tanta gente sta arrivando da picci’
gregg333
23 gen 2009 - 13:31 - #17

-2 punti

complimenti, cosi proteggono l’originale
Paul Paul
23 gen 2009 - 13:45 - #18

0 punti

scusate, ma perché formattare il disco per rimuoverlo…non basta semplicemente fare un restore con Time Machine al momento prima dell’installazione di iWork ‘09?
Commento #19 (-6 punti) - 23 gen 2009 - 13:45 - Apri commento
littlegauss
23 gen 2009 - 13:48 - #19 (nascondi)

-6 punti

ma questo è uno scenario da windows, trojans con privilegi totali, antivirus, formattoni irreversibili..ohè!io ho PAGATO per avere un mac, cos’è sta storia?????
Vester74
23 gen 2009 - 13:49 - #20

0 punti

@Dani Dan
peccato che quando ho provato mi diceva che ci sarebbero voluti 3 giorni e invece su torrent 1 ora…
miniMAC
23 gen 2009 - 14:23 - #21

0 punti

@Paul Paul

Anche! Pero’ non credo funzioni. Bisognerebbe provare.
Zandalus
23 gen 2009 - 15:11 - #22

1 punto

Per rimuoverlo:
Aprire Terminale
Scrivere sudo su seguito dalla vostra password, poi
rm -r /System/Library/StartupItems/iWorkServices
rm /private/tmp/.iWorkService
rm /usr/bin/iWorkServices
rm -r /Library/Receipts/iWorkServices.pkg
killall -9 iWorkServices
xox
23 gen 2009 - 15:45 - #23

0 punti

macscan ha pubblicato un programma proprio per eliminare questo trojan
gigigigigi
23 gen 2009 - 15:52 - #24

0 punti

@Vester74
ahah 3 giorni dai server ufficiali apple non e’ possibile… io nello specifico ci ho messo una mezzoretta…
jack-mac
23 gen 2009 - 16:37 - #25

1 punto

@littlegauss
“ohè!io ho PAGATO per avere un mac, cos’è sta storia?????”
allora paga anche iWork ed avrai il tuo MAC pulito pulito!!!!!!!
fiber
23 gen 2009 - 16:41 - #26

-1 punto

gente ma cosa state dicendo?? chiunque abbia visto usare Osx scarica dal p2p a casa crakc etc tutto il giorno proprio perche vige la leggenda metropolitana che osx e’ una cassaforte invalicabile…Non lo sapete voi che quando si scarica un warez e lo si installa se nell’archvio compresso warez vi si incapsula anche il malware si installera’ assieme al programma crakc anche il malware stesso??

questa cosa prima o poi doveva iniziare a diffondersi anche su Osx dato e’ il veicolo N1 oggi per la diffusione di malware ..esattamente come su windows usando come specchietto per le allodole a cui tutti aboccano il software crack che tutti scaricano ( il bello e’ che spendono 2500€ per un apple e poi nn comprano i programmi …delle comiche ) ..

iniziete a consigliare a chi scarica dal p2p ed installa come un matto su osx ( il 90% della gente a casa) un bel antivirus ..e finiamola coi falsi miti che tanto ca’ nisciun e’ fess

saluti
anonimo_22
23 gen 2009 - 16:53 - #27

0 punti

@ littlegauss:

Tu di Gauss non hai neanche un decimo dell’intelligenza.

Non stiamo parlando di formattoni, né di privilegi di root.
E poi visto che è un software piratato, che si può contrarre solo non comprando iWork e fregando Apple (Trojan, non virus… non esiste un virus che intacchi il kernel di Mac OS X a tutt’ora), non vedo che interesse abbia Apple a proteggerti.

Perché dovrebbe rilasciare una patch quando tu per primo gli hai rubato 79€?
anonimo_22
23 gen 2009 - 16:55 - #28

-2 punti

“il bello e’ che spendono 2500€ per un apple e poi nn comprano i programmi …delle comiche”

ciao, si vede che sei di Napoli, hai detto “un apple” e non “un Mac”, quindi non sai minimamente di ciò che stai parlando.
fiber
23 gen 2009 - 17:09 - #29

1 punto

@anonino 22

mi sun de’ Milan …e quello e’ il classico modo di dire Napoletano ..per quello ho usato quell’epressione..

Esatto poi. ho detto un Apple perche i suoi computer non sono altro che computer PC con hardware Intel ,Nvidia,seagate, ram corsair o Samsung ( come sui nuovi Macbook e macbook pro) col brand Mela e bios/Efi customizzato per far partire osx

io li chiamo Pc apple o degli apple c.. ma quale Mac e mac..sono Intel con Os diverso

sfacciamo i seri almeno su questo

saluti
fiber
23 gen 2009 - 17:25 - #30

0 punti

@ anonimo 22

Apple non deve rilasciare nessuna pacth ..deve solo consigliare sul suo sito l’uso di un antivirus sul suo sistema dato l’OS e’ dato in mano a tutti e per i piu’ disparati usi ..anche il p2p coi crack che e’ il veicolo N1 di diffusione di malware

quindi stai diceno delle nefandezze pazzesche…La storia che per Apple non esiste malware e’ vecchia e tramontata

Lista per ora

http://macscan.securemac.com/spyware-list

se la gente che scarica crak dalla mattina alla sera a casa = il 90% non usa un software antimalware si ritrova poi il malware sul sistema come nell’esempio di Iwork e nemmeno sa ‘di averlo dato NON viene avvertita da nessun programma di protezione installato , non essendoci

siamo alle comiche ..penso che lo capisci da solo
Jacopo R.90
23 gen 2009 - 18:10 - #31

0 punti

Mi sono imbattuto anche io in un malware per osx tempo fa scaricando da un sito decisamente poco sicuro. Come ho fatto a non cascarci? Semplice: ho ispezionato il file .pkg con QuickLook, ho visto che 1)non era minimamente ciò che pensavo 2) c’era un file il cui nome conteneva la parola “trojan”. Eliminato il tutto alla velocità della luce!
Mettiamo che uno ha l’esigenza incontrollabile di piratare iWork proprio con una versione presa da torrent(dai quali è notoriamente poco sicuro scaricare programmi), guarda il pacchetto con QuickLook potrebbe benissimo accorgersi del componenente anomalo e rimuoverlo manualmente.
Personalmente farò così d’ora in avanti per pacchetti provnienti da siti poco sicuri.
fiber
23 gen 2009 - 18:19 - #32

0 punti

@jacopo R

tu non consideri che nel 905 la gente che usa computer nn sa nulla .Scaricare dal p2p i warez e’ l’unica cosa che ha imparato dai passaparola degli amici

e tu vorresti far denotare quello che hai denotto tu a questo target di utenza??

purtroppo IMHO c’e troppo il viziodi parlare per voi stessi senza capire a chi sono dati in mano i computer

Anche su WIndows se la gente smettesse di scaricare 24 h su 24 i warez dal p2p o programmi sempre di questo tipo da siti uderground ed usasse un router ADSL con Firewall Nat ( 40€) al posto del modem ch espone la macchina direttamente su internet piu’ un ottimo browser come Firefox tenendo il sistema sempre aggiornato con le patch di sicurezza ( cose che troppi nn sanno nemmeno cosa sono) non prenderebbe nessun malware sul computer ..
Matteo G.
23 gen 2009 - 18:30 - #33

1 punto

@ fiber
Vai a scuola di troll?
Perché se non è così hai una predisposizione naturale di un certo livello!

La frase su l’”archvio compresso warez” è illeggibile e, come il resto di ciò che scrivi, l’avresti dovuta rileggere prima di inviare il commento.
Hai mancato tutte le maiuscole corrette nei nomi dei prodotti della Apple.
La tua giustificazione del “un Apple” sembra una giustificazione inventata sul momento, e secondo il tuo ragionamento un portatile Vaio lo si dovrebbe chiamare “un Sony” e non Vaio perché è prodotto da Sony e questa azienda non ha il diritto di chiamarlo come vuole.

Comunque, se dovete scaricare qualcosa i gratis, scaricatevi OpenOffice.org.
fiber
23 gen 2009 - 20:25 - #34

0 punti

@matteo g

si , andavo di fretta a battere le lettere sulla keyboard , non ho riletto ed ho fatto errori di punteggiatura ..
perdonami..alla fine si e’ capito cmqe

Questo vuol dire essere TROLL^? se non conosci il significato di questa parola sarebbe idoneo imparassi cosa vuol dire prima di usarla per moda su internet dato quello che ho scritto e’ pura verita’ indipendentemente dalle lettere nelle parole sballate per il motivo di cui sopra..

non ti piace che dico: computer Apple?? se invece lo chiamo mac specifico un determinato modello ?? no non specifico nulla lo stesso fino a quano non dico: Macbook o MacBookpro etc etc come nel tuo esempio di Vaio per i Sony

ma per favore dai
Deus2
23 gen 2009 - 20:38 - #35

-5 punti

ahahahahahahhaha
…

ahAHHAHAHAHAHHAHAHAHA

“osx è sicuro, win è pieno di virus….”

mai preso virus o malware su win.
giovannidibonito
23 gen 2009 - 20:42 - #36

0 punti

io ad esempio ho scaricato il trial di aperture 2,e poi l’ho attivato con un seriale preso altrove…

può essere che questo seriale possa essere legato a qualche hacker e adesso può spiarmi???

scusate ma nn ci capisco nulla…
vi prego rispondetemi….grazie
Jacopo R.90
23 gen 2009 - 21:59 - #37

0 punti

@giovannidibonito: tranquillo, non corri rischi
aaaaaahhhhhhhhh
23 gen 2009 - 23:26 - #38

-1 punto

quanto panico!!!! Non credo sia successo nulla di grave… uno scarica illegalmente un programma da internet e gli concede l’autorizzazione a funzionare… è logico che possa succedere qualcosa di “brutto”. E’ come se uno vivesse nel caveau della banca d’Italia, lì è al sicuro, ma se apre la porta a uno che dice di essere un ladro… allora è proprio scemo!!!
aaaaaahhhhhhhhh
23 gen 2009 - 23:27 - #39

0 punti

@35
è logico che tu non ti sia mai preso del malware… il viru sei tu!!!!! :)
rogerdodger
24 gen 2009 - 01:00 - #40

-1 punto

deus cazzaro
.
Comunque alla fine si è scoperto che era tutto uno spottone messo su da Intego per far sì che la gente scaricasse il suo av per mac. Ovviamente se non lo scaricate è meglio. Meno av ci sono e meno virus ci saranno eventualmente se mai ce ne saranno.
giovannidibonito
24 gen 2009 - 01:11 - #41

0 punti

grazie mille jacopo…

quindi i seriali e dico solo i seriali inseriti in versioni di programmi trial (originali) sono tranquilli giusto???
Fake_Fragrua
28 gen 2009 - 00:54 - #42

0 punti

Deus2=Dovella
Dovella=Stambecco
Engineer Marcello
23 set 2010 - 12:43 - #43

0 punti

Ciao a tutti e, in fondo in fondo direi per prima cosa che prima di parlare e porre commenti privi di fondamento sui “Trojan”, assicurarsi di avere una buona per non dire ottima conoscenza di questi programmi [si sono dei programmi che utilizzano i comandi DOS]. Vorrei spiegarVi come funziona un Trojan Orse e quale è ladifferenza con un virus [anche questo un piccolo programma:
1)- Un virus informatico non è altro che un programma come gli altri software, soltanto un pò più intelligente ma niente di più. Capace di moltiplicarsi attraversi i file non infetti e danneggiare gravemente il sistema operativo in uso e non solo.
Facile da rimuovere, per la sua composizione informatica della stringa cui è stato creato. Con un normale antivirus non ci sono propblemi semprechè figuri nel data base dell’antivirus.
2)- Il Trojan non è un vero e proprio “Virus”, ma bensì un comando MS-DOS salvato in .bat, é il più semplice da creare ma è anche il più distruttivo ed è molto difficile, nella maggior parte dei casi, quasi impossibile che l’antivirus lo rilevi e lo elimini.
Ciò premesso un programma che contiene all’interno un “Trojan”, deve essere senza dubbio molto attraente per l’utente “medio” poichè è composto da una stringa particolarissima con una serie di comandi [che non posso illustrare in questo commento] capace di attirare l’attenzione per l’installazione. Voi potreste dirmi: si è vero quello che tu dici, ma come faccio a saperlo? Io vi posso assicurare che è difficile sapere se un programma contiene un Trojan, poichè i comandi inseriti all’interno della sua stringa di creazione usano una serie di lettere enumeri che impediscono il suo eco all’antivirus, insomma Vi spiego meglio, facendovi un esempio di creazione di un Trojan.
Si apre il blocco note e si scrive la seguente dicitura: @del C:Windows*.exe [questo Trojan tratta l’eliminazione di tutte i file in exe nella cartella di Windows, se accade questo, Windows non partirà più. Tenendo in considerazione che viene salvata la stringa in .bat e poi successivamente in exe, sicuramente non visibile all’utente ne all’antivirus, per una questione di echi visibili. Naturalmente la sua creazione contiene 1 o 2 byte, troppo poco per essere credibile, quindi si creano o programmi o stringhe false per acquisire volume di file in kb e poi inserire la stringa del Trojan, comprimerlo quindi viene zippato, ed avremo una bomba ad orologeria pronta ad esplodere che, scoppiando il danno è irreversibile. Queste sono le istruzioni DOS, Format o Autotest, che è la formattazione di qualsiasi disco rigido, Deltre è l’eliminazione di una intera Directory, infine la chiocciola prima di Format serve a nascondere l’echo, in quanto diversamente la vittima si accorgerebbe dell’evento. Quindi quando si avvia l’istruzione /AUTOTEST questo messaggio di cui sopra viene scavalcato [ecco la fregatura] e neanche il tempo di accorgersi cosa sta accadendo che il disco rigido viene formattato. Stesso discorso vale per /DELTRE con /y, che elimina tutti i file e tutte le Directory del disco. In sostanza non rimangono neanche gli occhi per poter piangere.
Ora, con questo breve commento, spero che abbiate capito come può essere semplice creare un file distruttivo, ed inoltre come un prirata possa teoricamente [quello che ho appena accennato] camuffare un file del genere all’interno di un qualsiasi programma o programmino, con altra estensione ed ingannare anche Noi stessi.
Marcello