Trojan Horse per MAC OSX

Nome

F-Secure: OSX/iWorkServ.A

Symantec: OSX.Iwork

Mcafee: OSX/IWService

Data di scoperta: 22/01/2009

Il trojan colpisce le versioni non originali di IWORK ’09 scaricate dalla rete (emule o bit torrent) annidandosi nei seguenti file:

• /System/Library/StartupItems/iWorkServices/iWorkServices/
• /System/Library/StartupItems/iWorkServices/StartupParameters.plist

Il backdoor consente funzionalità pear-to-pear, in particolare sfrutta le porte TCP 59201 e TCP 1024 per ricevere connessioni dall’esterno dai seguenti indirizzi:

• 69.92.177.146:59201
• qwfojzlk.freehostia.com:1024

Una volta connesso il sistema remoto può lanciare uno dei seguenti comandi:

• socks
• system
• httpget
• httpgeted
• rand
• sleep
• banadd
• banclear
• p2plock
• p2punlock
• nodes
• leafs
• unknowns
• p2pport
• p2pmode
• p2ppeer
• p2ppeerport
• p2peertype
• set
• get
• clear
• p2pihistsize
• p2pihist
• platform
• script
• sendlogs
• uptime
• uid
• shell
• rshell

Consiglio di lanciate da terminale il comando NETSTAT e controllate se le porte 59201 e 1024 sono in ascolto su 69.92.177.146 o qwfojzlk.freehostia.com.