Trojanisierte Kopie von Apple iWork 2009 in Umlauf

Apple-Anwender aufgepasst: Mehrere BitTorrent-Tracker und dubiose Webseiten verteilen derzeit eine Kopie von Apples Layout- und Präsentationssoftware iWork 2009, deren Installationsroutine um ein Trojaner-Paket (iWorkServices.pkg) ergänzt wurde. Nach Angaben des Antivirenherstellers für Mac Intego wird der Anwender bei der Installation erst ab Mac OS X 10.5.2 nach einem Passwort gefragt, vor diesen Versionen soll die Installation auch ohne Passwort funktionieren.

Der Trojaner kopiert sich in die Liste der Systemstartobjekte und nimmt Verbindung mit einem Server auf. Bislang wurden aber keine weiteren Aktivitäten des Schädlings beobachtet. Vermutlich dürfte er aber auf Befehle warten, um weitere Komponenten nachzuladen. Eine erste Analyse des Trojaners hat Sicherheitsspezialist Methusela Cebrian Ferrer auf seinen Seiten veröffentlicht.

Laut Intego sollen bislang mindestens 20.000 Anwender die trojanisierte iWork-Kopie heruntergeladen haben. Wie Intego auf diese Zahl kommt, ist unklar. Den Beschreibungen des iWork-Pakets auf The Piratebay zufolge kursiert die Kopie bereits seit dem 8. Januar. In der Beschreibung ist in den Kommentaren auch ein Vorschlag zu finden, wie man den Trojaner manuell wieder entfernen kann:

1) (open Terminal.app)
2) sudo su (enter password)
3) rm -r /System/Library/StartupItems/iWorkServices
4) rm /private/tmp/.iWorkServices
5) rm /usr/bin/iWorkServices
6) rm -r /Library/Receipts/iWorkServices.pkg
7) killall -9 iWorkServices


(dab)