Intego advierte de un nuevo Trojano para Mac enmascarado en una descarga ilegal de iWork 09

Intego dice que ha descubierto un nuevo caballo de troya, OSX.Trojan.iServices.A, que se encuentra en copias distribuidas de iWork 09 de Apple en trackers de BitTorrent y otros sitios que contienen software pirata. La versión de iWork 09, la suite de productividad de Apple, está completa y funcional, pero el instalador contiene un paquete adicional llamado iWorkServices.pkg.

Cuando se instala iWork 09, el paquete iWorkServices es instalado. El instalador para el troyano es lanzado tan pronto como el usuario inicia la instalación de iWork, siguiendo la petición del instalador por la contraseña del suministrador. Este software está instalado como un item (/System/Library/StartupItems/iWorkServices) de startup, donde tiene permisos de lectura, escritura y ejecución en como Root.

Intego dice que el software malicioso se conecta a un servidor remoto sobre el internet, lo que quiere decir que un usuario malicioso será avisado cuando el troyano es instalado en distintos Macs, y tendrá la habilidad de conectarse a ellos y realizar distintas acciones de manera remota. El troyano podría también descargar componentes adicionales en un Mac infectado.

Intego ha indicado en una alerta para advertir a los usuarios que no deben descargar instaladores de iWork 09 en sitios que ofrezcan software pirata. El riesgo de infección es serio, y los usuarios se enfrentan a consecuencias extremadamente serias si sus Macs son accesibles a los usuarios maliciosos, dice.

Intego VirusBarrier X4 y X5 con las definiciones de virus con fecha del 22 de enero de 2009 en adelante, protegen en contra de este troyano. Intego recomienda a los usuarios nunca descargar software de fuentes no confiables o sitios web cuestionables.

Se cree que 20.000 usuarios han descargado ya esta versión malware de iWork,

Fuente: Macsimum News

14 Comments

  1. Anónimo

    ¿Alguien decía que no existían virus para OS X? Si a muchos usuarios de OS X se les ocurriera escanear el sistema con un antivirus, más de uno se llevaría una sorpresa…

  2. Anónimo

    A cualquier cosa llaman virus, voy a inventarme uno, que para instalarse te pida la pass de administrador y que para propagarse pida permiso, ya veras que risas no echamos en la euskalparty

    Es lo que tiene el software pirarta y de dudosa procedencia, que cualquiera lo puede modificar y redistribuirlo y nosotros pardillos, lo instalamos.

    Pero este aviso tendria que ser mas que suficiente a todo maquero, linuxeso, o windowsero, para que comprueben las fuentes de donde consiguen ese software sin licencia, ya que al malware nadie estamos 100% cubiertos.

    dicho esto, Las amenazas de virus/troyanos y malware son reales en todos los SO, unos mas que en otros, pero que nuestro SO sea muy seguro o no, no quita en que tenemos pensar antes de instalar cualquier chorrada que nos hemos bajado de internet (sea legal o no)

    Saludos

  3. Anónimo

    De hecho, en los comentarios de varios torrent de thepiratebay.org ya se avisa de este troyano desde hace algunos días. Incluso hay uno que lo pone en el título, y en la descripción te explica como eliminarlo manualmente….

    Por si alguien lo sabe, cuando se ejecuta el instalador del software con el paquete que contiene el troyano, y te pide la clave del administrador, ¿es evidente que es para un paquete concreto llamado iworkservices? O si, como me temo, te lo pide al principio de la instalación y te instala todos los paquetes de la suite sin identificación individual.

    De todas maneras, si fuera evidente el paquete de iworkservices….., probablemente un usuario pensará que es necesario para algún «servicio» de la suite, como por ejemplo el tema de los documentos online… Es un engaño fácil.

  4. Anónimo

    Es impresionante la confusión que tienen las personas con los troyanos diciendo que son virus.

    Aclaro, un virus es todo aquel programa que se auto ejecuta y se auto reproduce, Un virus no necesita la interacción con el usuario para ejecutarse (infectar la máquina). Basta introducir un DVD «infectado» en el slot del ordenador para que este se copie y se ejecute.

    Un troyano es todo aquel programa que se hace pasar por otro (he allí su nombre referente al caballito de Troya) y necesita que el usuario (intencionalmente o no) lo ejecute y le de permiso para ejecutarse. Por poner un ejemplo, si tu haces un flujo de trabajo con automator cuya finalidad es borrar todos los archivos de la carpeta «documentos» y a ese flujo de trabajo le pones el nombre «Instalador de iWork» y le pones un icono para que sea un poco más creíble, entonces, por definición estarías haciendo un troyano. Si algún incauto lo ejecuta y le da permisos, entonces terminará con su carpeta «documentos» totalmente borrada.
    Es aquí (en los troyanos) en donde se aplica toda esa «ingeniería social» la cual consiste en convencer a un usuario en ejecutar un programa malicioso, y para este tipo de amenaza NO HAY antivirus que lo proteja. Todos somos vulnerables a caer en este tipo de amenaza social si no somos precavidos y no somos tan confiados de hacer lo que la pantalla nos indica sin tener un poco de coherencia, por ejemplo si estás visitando una página para adultos y te bajas un video por descarga directa y este te pide la contraseña del administrador, el usuario que le dé dicha contraseña se merece (en mi opinión) que su ordenador se «infecte» por no pensar tan solo un poquito en lo que esta haciendo, claro, existen muchas otras formas más sofisticadas de los cuales todos (me incluyo) podemos caer por simple descuido, y repito para la «ingeniería social» y por consiguiente algunos troyanos no existe anivirus que lo detecte.

    Saludos.

  5. Anónimo

    Entonces, si creo un fichero que aparente ser el instalador de iWork y lo que pongo dentro es una foto de Carmen de Mairena, ¿es un troyano?

    Muy buena ElJulián. Seguro que el anuncio a puesto a correr a todo el mundo tirándose de los pelos. Y quizás el autentico virus o troyano (depende de lo que haya dentro) está en el remedio, que por arriba comentaban:WorkServices Trojan Removal Tool, y al que todos darán permisos sin pensarlo dos segundos aterrorizados por el anuncio.

    En Mac, si actúas de forma mínimamente precavida, es muy difícil que te entre un virus o similar. Solo hay que aplicar el sentido común. ¿Quien de los de aquí le daría la llave de su casa a un desconocido que se encuentra por la calle para que vaya sin que el dueño esté presente? El programa al que le das permisos de administrador es ese desconocido. iWork es conocido, pero de donde ha salido… es para desconfiar.

  6. Anónimo

    Por cierto quien coño necesita descargarse el iWork 09 del Torrent o del Emule, si es más rápido bajarlo de la propia web, limpio y actualizado, demo de 30 días y decidimos si lo compramos con el serial o lo activamos de modo «poco» ortodoxo para lo cual solo necesitamos un serial.

  7. Anónimo

    Pues yo he buscado y rebuscado por todos los instaladores de iWork que veo por ahí y no veo ni detecto na de na. Tengo una copia retail instalada en mi máquina y venía limpia como una patena.

    En cualquier caso, y después de muchos años bajándome todo lo habido y por haber y visitando los submundos de internet, se me ocurrió pasarle hace poco el Intego Netbarrier ( justo los que están montando todo este revuelo ) a mi máquina con todos los discos duros conectados y no encontró ni siquiera un virus para windows. Con la base de datos puesta al día ( lo tengo de pago y con to lo que tiene que tener ) y na de na.

    Supongo que igual que los usuarios de guindos, todo depende del lugar de donde se baje uno las cosas, lo ingenuo que pueda llegar a ser o la poca experiencia con ordenadores. ElJulian lo ha resumido todo muy bien en su post, todo queda dicho.

    De virus na y troyanos hay pa todas las plataformas, pero por suerte para Mac OS X, son contados con los dedos de 1 mano. Eso si, de momento, no hay que descartar nada de cara al futuro sobre todo si la plataforma sigue creciendo.

    Por cierto, una denuncia pública contra El País, ese periódico que sigue pagando Bill Gates para que sólo saque malas noticias de Apple. Estos días han publicado a bombo y platillo todos los resultados económicos de las grandes empresas de electrónica, pero de Apple no han dicho ni mu porque no quieren decir que han batido el record de ingresos, pero si seguir generando rumorología sobre la enfermedad de Steve Jobs. Lástima que aquí no haya muchos accionistas a los que coaccionar.

  8. Anónimo

    El Pais ese periodicucho que engaña y el Pais esa mierda de periódico que en otra época hubiera sido quemado hasta la bandera…Vaya mierda de prensa, y ya no hablemos de cuando a sus «periodistas» les da por copiar artículos para la prensa escrita de gente de a pie que escribe en su blog…Bueno pero hablando del Pais…Titulares como este no son normal…

    iWork, el paquete de aplicaciones de Apple, nuevo gancho para un virus

    Es menos habitual que en los ordenaros que usan Windows, pero los Mac también sufren ataques. Un nuevo virus troyano se ha encontrado en una distribución del paquete de ofimática para los ordenadores de Apple, el iWork que agrupa aplicaciones…

    Esto es mentira tal y como lo comentan parece que el Mac esta infectado hasta la bandera y que encima es Apple la que distribuye un iWork infectado.

  9. Administrador

    Un poquito acojonante si que es lo del País (que cita como fuente Europa Press):

  10. «La firma de seguridad Symantec»: Ha sido Intego la empresa en levantar la liebre, NO Symantec. Es más, ni se enlaza con la web de symantec.
  11. «Al tratarse de una versión modificada de iWork, sólo se pueden infectar los equipos que opten por una versión descargada de Internet de forma gratuita.»: Se dice «pirateada» no gratuita; es más, me parece que todas las webs que han hablado del asunto han dejado claro que este problema de seguridad viene de versiones modificadas y publicadas en webs especializadas en el intercambio de archivos . No es una descarga gratuita que hace pensar que la Demo que suministra Apple está infectada.
  12. Anónimo

    Yo tengo una macbook y por desgracia se le metio un virus que cada dos minutos despues de encenderla me pedia que la reiniciara y no me dejaba hacer ninguna otra tarea. Ahora bien despues de formatearla me ha sido imposible volverle a instalar el sistema opertivo, ya que al introducir el CD y arrancar desde el me aparece un mensaje que me dice «no se puede instalar el software en este equipo».
    Hay alguna solucion para eso, porque aun no la he encontrado????

Deja una respuesta