Mac için virüs yok! Eh, hepimiz bunu veya benzerini daha önce duymuşuzdur... Fakat yine hepimizin bildiği gibi, bu doğru değil.

Yeni iWork09 trojan bunu bir kez daha gösteriyor.

Bu truva ve iWork09 ile ilgili bazı ilgi çekici bilgiler:
* Apple 6 Ocak'ta MacWorld09'da iWork09'u çıkardı. (Sürüm bir seri numarası gerektiriyor)
* 19 Ocak'ta Apple iWork09 için bir seri numarasına ihtiyaç olmadığına karar verdi.
* iWork09 trojan 21 Ocak'ta tespit edildi.

Mantıklı açıklaması ne olabilir? Apple seri numaraya ihtiyaç olmadığına karar verdi, bu da yasadışı torrent'lerde bir patlamaya yol açtı, ve kötü amaçlı kod yazarı da kendi truvasını paket içerisine ekleme fırsatı buldu.

Yanlış!

iWok09 torrentlerine bakarken, farklı bir zaman hattı farkettim.. Çoğu virüslü torrent'in tarihi yaklaşık olarak 7 Ocak. iWork09'un çıkışından tam bir gün sonra, ve kötü amaçlı dosya da bu teoriyi destekliyor:
-rwxr-xr-x  1 pedrobueno  staff  413568  7 Jan 22:22 iworkservices

Bu iWork09 truvasının diğer yeni popup açan Mac truvalarından farklı, oldukça iyi geliştirilmiş bir kod, ve kriptolanmış haberleşme kanalı ve p2p benzeri ağ stili kullanıyor.

Bu tip gelişmiş bir Mac virüsünün gerçek amacının ne olduğu daha tam açık değil, fakat zaman içerisinde detayları ortaya çıkacaktır.

Aşağıdaki komutlar bu kötü amaçlı yazılımı bilgisayarınızda olup olmadığını anlayabilmenizi ve sonrasında temizleyebilmenizi sağlayacaktır.

Truva ağı kullanıyormu
sudo lsof -i -P|grep -i tcp|grep -i iworkserv

Komutun çıktısı aşağıdaki gibi olacaktır:
iworkserv 5326     pedrobueno    9u  IPv4 0x7170270      0t0    TCP *:<port>

Truva hdd de bulunuyormu
sudo find / -iname "iworkservice*" -print 

Komut çıktısı muhtemelen aşağıdaki gibi olacaktır:
.funnystuff/English.lproj/iWorkServices.info
.funnystuff/iworkservices
.funnystuff/iWorkServices.bom
.funnystuff/iWorkServices.pax.gz
.funnystuff/iWorkServices.sizes

Truvanın sisteminizde çalışıp çalışmadığının kontrolü
sudo ps aux |grep -i iworkservice |grep -v "grep"

Komut çıktısı aşağıdaki gibi olacaktır:
pedrobueno  5326   0.6  0,4   451036  15660 s002  S+    4:49     0:00.62 ./iworkservices

5325 = PID

Kötü amaçlı işlemi öldürmenin en hızlı yolu aşağıdaki gibi bir komut satırı kullanmaktır:
Sudo kill -9 PID (yukarıdaki örneğimizde PID 5326 idi)

Bu komut çalışan işlemi sonlandırır fakat dosya hala sistemde durmaktadır.

iworkservices dosyasını silmek daha sonra çalışmasını engelleyecektir.

Bunu yapmak için ikinci komut çıktısındaki klasöre gidin ce aşağıdaki komutları çalıştırın:
Sudo rm –rf iWorkservic*
Sudo rm –rf iworkservic*

DİKKAT: rm -rt komutu Unix sistemlerde çok güçlü bir komuttur, özellikle süper kullanıcı yetkileri ile, bu yüzden dikkatli kullanın. Yanlış kullanımından sorumlu değilim.

Bir sonraki adım da makinanızı tekrar başlatıp tekrar kontrol etmek olacaktır. Unutmayın, bu kötü amaçlı yazılım birden fazla yeteneğe sahip bir arka kapı niteliğinde ve kendisini güncelleyebildiği için yukarıdaki işlemler ilerde işe yaramayabilir.

Ve son olarak, Mac'iniz için bir AV düşünün.

Bazı iWork referansları:

McAfee AvetLabs: OSX/IWService - http://vil.mcafeesecurity.com/vil/content/v_153893.htm
Intego security: http://www.intego.com/news/ism0901.asp
F-Secure: http://www.f-secure.com/v-descs/backdoor_osx_iworkserv_a.shtml

http://isc.sans.org/diary.html?storyid=5743 adresinden türkçeye çevrilmiştir.

 

Kaynak: http://www.olympos.net