Mac için virüs yok! Eh, hepimiz bunu veya benzerini daha önce duymuşuzdur… Fakat yine hepimizin bildiği gibi, bu doğru değil.
Yeni iWork09 trojan bunu bir kez daha gösteriyor.
Bu truva ve iWork09 ile ilgili bazı ilgi çekici bilgiler:
* Apple 6 Ocak’ta MacWorld09′da iWork09′u çıkardı. (Sürüm bir seri numarası gerektiriyor)
* 19 Ocak’ta Apple iWork09 için bir seri numarasına ihtiyaç olmadığına karar verdi.
* iWork09 trojan 21 Ocak’ta tespit edildi.
Mantıklı açıklaması ne olabilir? Apple seri numaraya ihtiyaç olmadığına karar verdi, bu da yasadışı torrent’lerde bir patlamaya yol açtı, ve kötü amaçlı kod yazarı da kendi truvasını paket içerisine ekleme fırsatı buldu.
Yanlış!
iWok09 torrentlerine bakarken, farklı bir zaman hattı farkettim.. Çoğu virüslü torrent’in tarihi yaklaşık olarak 7 Ocak. iWork09′un çıkışından tam bir gün sonra, ve kötü amaçlı dosya da bu teoriyi destekliyor:
-rwxr-xr-x 1 pedrobueno staff 413568 7 Jan 22:22 iworkservices
Bu iWork09 truvasının diğer yeni popup açan Mac truvalarından farklı, oldukça iyi geliştirilmiş bir kod, ve kriptolanmış haberleşme kanalı ve p2p benzeri ağ stili kullanıyor.
Bu tip gelişmiş bir Mac virüsünün gerçek amacının ne olduğu daha tam açık değil, fakat zaman içerisinde detayları ortaya çıkacaktır.
Aşağıdaki komutlar bu kötü amaçlı yazılımı bilgisayarınızda olup olmadığını anlayabilmenizi ve sonrasında temizleyebilmenizi sağlayacaktır.
Komutun çıktısı aşağıdaki gibi olacaktır:
iworkserv 5326 pedrobueno 9u IPv4 0×7170270 0t0 TCP *:<port>
Truva hdd de bulunuyormu
sudo find / -iname “iworkservice*” -print
Komut çıktısı muhtemelen aşağıdaki gibi olacaktır:
.funnystuff/English.lproj/iWorkServices.info
.funnystuff/iworkservices
.funnystuff/iWorkServices.bom
.funnystuff/iWorkServices.pax.gz
.funnystuff/iWorkServices.sizes
Komut çıktısı aşağıdaki gibi olacaktır:
pedrobueno 5326 0.6 0,4 451036 15660 s002 S+ 4:49 0:00.62 ./iworkservices
5325 = PID
Kötü amaçlı işlemi öldürmenin en hızlı yolu aşağıdaki gibi bir komut satırı kullanmaktır:
Sudo kill -9 PID (yukarıdaki örneğimizde PID 5326 idi)
Bu komut çalışan işlemi sonlandırır fakat dosya hala sistemde durmaktadır.
iworkservices dosyasını silmek daha sonra çalışmasını engelleyecektir.
Bunu yapmak için ikinci komut çıktısındaki klasöre gidin ce aşağıdaki komutları çalıştırın:
Sudo rm –rf iWorkservic*
Sudo rm –rf iworkservic*
DİKKAT: rm -rt komutu Unix sistemlerde çok güçlü bir komuttur, özellikle süper kullanıcı yetkileri ile, bu yüzden dikkatli kullanın. Yanlış kullanımından sorumlu değilim.
Bir sonraki adım da makinanızı tekrar başlatıp tekrar kontrol etmek olacaktır. Unutmayın, bu kötü amaçlı yazılım birden fazla yeteneğe sahip bir arka kapı niteliğinde ve kendisini güncelleyebildiği için yukarıdaki işlemler ilerde işe yaramayabilir.
KARAPENCE
