Trojan Horse per MAC OSX

Nome

F-Secure: OSX/iWorkServ.A

Symantec: OSX.Iwork

Mcafee: OSX/IWService

Data di scoperta: 22/01/2009

Il trojan colpisce le versioni non originali di IWORK ’09 scaricate dalla rete (emule o bit torrent) annidandosi nei seguenti file:

  • /System/Library/StartupItems/iWorkServices/iWorkServices/
  • /System/Library/StartupItems/iWorkServices/StartupParameters.plist

Il backdoor consente funzionalità pear-to-pear, in particolare sfrutta le porte TCP 59201 e TCP 1024 per ricevere connessioni dall’esterno dai seguenti indirizzi:

  • 69.92.177.146:59201
  • qwfojzlk.freehostia.com:1024

Una volta connesso il sistema remoto può lanciare uno dei seguenti comandi:

  • socks
  • system
  • httpget
  • httpgeted
  • rand
  • sleep
  • banadd
  • banclear
  • p2plock
  • p2punlock
  • nodes
  • leafs
  • unknowns
  • p2pport
  • p2pmode
  • p2ppeer
  • p2ppeerport
  • p2peertype
  • set
  • get
  • clear
  • p2pihistsize
  • p2pihist
  • platform
  • script
  • sendlogs
  • uptime
  • uid
  • shell
  • rshell

Consiglio di lanciate da terminale il comando NETSTAT e controllate se le porte 59201 e 1024 sono in ascolto su 69.92.177.146 o qwfojzlk.freehostia.com.

2 risposte a “Trojan Horse per MAC OSX”

  1. Antivirus per Mac? at maxblog

    […] per il Mac!”  Questo è vero, ma la recente comparsa sulla rete di  vari Trojan Horse (qui l’articolo) inizia a farmi preoccupare. Preso dalla curiosità ho installato iAntiVirus, un ativirus gratuito […]

  2. Antivirus per Mac? | MAXBLOG

    […]  Questo è vero, ma la recente comparsa sulla rete di  vari Trojan Horse (leggi l’articolo “trojan horse per MAC”) inizia a farmi preoccupare. Preso dalla curiosità ho installato iAntiVirus, un antivirus gratuito […]

Lascia un commento