Individuare e rimuovere il trojan iWorkServices.pkg

Come ben sapete da giorni, chi ha voluto scaricare una copia pirata di iWork ’09 potrebbe essersi imbattuto in un pacchetto appositamente modificato della Suite di Apple.
Intego, (scopritore del malware) non dice esplicitamente come liberarsi da questo pericolo e propone logicamente una delle sue soluzioni “a pagamento”.
Premesso che la pirateria è un crimine, specialmente verso Apple, bisogna fare molta attenzione a quanto letto in giro, poiché ad essere stata modificata non è una versione “retail”, bensì una comune iWork09Trial.mpkg, quindi l’informazione diffusa in rete dai vari blog (italiani e stranieri) è completamente fuorviante, cioè chi voleva andare tranquillo e accontentarsi di una versione Trial presa da BitTorrent è rimasto comunque fregato.
Allora, come fare per riconoscere la versione modificata?
L’unica differenza visibile a occhio umano è che all’interno del pacchetto dell’installer Contents/Packages ci sono 5 elementi, l’abusivo è iWorkServices.pkg creato la notte dell’8 gennaio, forse un po’ presto per essere stato realizzato da un “esterno”, a meno che l’azione non fosse estremamente premeditata e pronta. Logicamente anche il file iWorkTrial.dist è stato modificato nel codice, con l’aggiunta della stringa line choice=’iWorkServices’/. Quindi se questi elementi sono presenti significa che la copia Trial che abbiamo scaricato è infettiva!

Urge controllare rapidamente che il nostro Sistema non sia infetto: apriamo la cartella Macintosh HD/Sistema/Libreria/StartupItems ed accertiamoci che non ci sia la cartella iWorkServices; se questa invece è presente abbiamo un Trojan in azione e dobbiamo liberarcene subito! Ho appena scoperto che in rete ci sono diversi sistemi per rimuovere il demone, tuttavia la mia intenzione è quella di farlo semplicemente dal Finder e senza applicazioni esterne (ne esistono già di gratuite, a pagamento e addirittura dei truffaware) evitando ulteriori residui o complicati comandi dal Terminale.
È importantissimo chiudere tutti i programmi, scollegarsi da Internet ed abilitare la visibilità dei file invisibili.
Per liberarci dal trojan basterà seguire questi tre passi e riavviare al termine.
1) Spostare la cartella in questione nel cestino battendo la password di amministratore alla richiesta
2) Andare nella cartella invisibile (raggiungibile dal Finder su Vai > Vai alla cartella… incollando il percorso) /usr/bin/, e rimuovere il file eseguibile iWorkServices
3) Accertarsi che nella cartella /private/tmp/ non ci siano i file invisibili .iWorkServices e iWorkServices.pkg e riavviare

Solo dopo il riavvio sarà possibile vuotare il cestino con gli elementi altrimenti ancora in uso e ricordiamoci che i software vanno pagati, specialmente quando sono così belli e costano così poco.
Buona disinfettazione a tutti i pirati… da 4 soldi.

2 commenti a “Individuare e rimuovere il trojan iWorkServices.pkg”

  1. Quest’imbecille d RixStep spiega quant’è facile creare un trojan per noi "stupidi" utenti Mac. Addirittura si chiede come mai nessuno ne abbia approfittato prima.
    http://rixstep.com/2/2/20090124,00.shtml
    Secondo me andrebbe segnalato ad Apple e fermato, poiché potrebbe alimentare lo sfizio di realizzare questi scherzetti simpatici.
    C’è qualcuno che può occuparsene?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *