« Nachlese zu Apples Quartalszahlen: Internationales Wachstum, Einschätzung zu Netbooks, Drohung an Palm | Start | Sammelsurium: 25, Palm-Apple-Personentransfer, Lektüre zum iPhone als Spieleplattform, alte iPod nano-Kratzer, halbierter Zune, etc. »

22.01.2009

iWorkServices: Trojaner nutzt iWork '09-Installer als Tarnung [Update]

iworkservices.png
Geschickt platziert wurde ein Trojaner im (manipulierten) Installationspaket von iWork '09, welches unter anderem bei den üblichen Torrenttrackern inklusive Seriennummer zum Download feilgeboten wird. Der Trojaner firmiert als iWorkServices.pkg und wird nach der Eingabe des Benutzerpasswortes zur Installation von iWork '09 mit aufgespielt, kopiert sich daraufhin zu den System-Startobjekten und versucht Verbindung zu verschiedenen IP-Adressen aufzunehmen. Inwiefern iWorkServices in der Lage ist, weiteren Schaden anzurichten, bleibt noch offen. «For now I can say that this is indeed a threat; a backdoor, reporting bot, trojan, and P2P worm», schreibt der Sicherheitsspezialist Methusela Cebrian Ferrer, der weitere Details zu dem Trojaner bereithält.
Da ein entsprechend manipuliertes iWork-Paket bereits seit dem 8. Januar angeboten wird, dürfte eine hohe Zahl an Personen sich den Trojaner auf diese Weise zumindest heruntergeladen (Intego schätzt, ohne dies näher auszuführen, den Kreis auf mindestens 20.000 Personen) und möglicherweise auch installiert haben.

iwork_seriennummer.png
Randanmerkung: Apple verzichtet bei der DVD-Version von iWork '09 erstmals auf eine Seriennummer, bietet aber das Paket gleichzeitig weiterhin zum Download an und erfordert dort wie gewohnt nach 30 Tagen die Eingabe einer Seriennummer - wer sich zuerst die "Testversion" installierte und dann die DVD erwarb, muss iWork '09 nochmals (von der DVD) installieren, da der Packung eben keine Seriennummer mehr beiliegt (Apples Trialversion aber anfangs darauf verwies, siehe Screenshot).
Warum Apple ausgerechnet bei iWork '09 die Seriennummer streicht, bleibt offen. iLife und Mac OS X z.B. waren bislang nie mit einer entsprechenden Pseudo-Schutzmaßnahme ausgestattet, vielleicht ist Apple schlicht klar geworden, dass der hauptsächliche Effekt ein genervter (zahlender) Kunde ist. Wer sich dem Bezahlen für iWork verweigerte, konnte schon die Trialversion des alten iWork '08 mit kleinen .plistereien austricksen, oder sich ohne große Hürde die Seriennummer aus gräulicheren Quelle besorgen - durch verlegte Seriennummern wurde diese "Kundschaft" jedenfalls nie gequält. (Danke an alle Tippgeber!)

Update 25.01.09. 17:10 Uhr: Offenbar wird der Trojaner eingesetzt, um ein Botnetz aus Macs aufzubauen: So berichten Infizierte davon, dass ihr Rechner offensichtlich für DoS-Attacken herangezogen wurde. «Infected OS X users machine can be controlled remotely by the bot master. It can be used to participate in a massive Distributed Denial of Service attack (DDoS), install further application (like software from Pay-per-Install), spam and distribute malware and may gather user data», so Ferrer in einem Nachtrag. Wer den Trojaner installierte, sollte seine komplette Festplatte formatieren, Mac OS X und sämtliche Programme frisch aufsetzen und dann die eigenen Daten von einem Backup wieder einspielen.

Posted by Leo at 16:19 | Permalink

TrackBack

TrackBack-Adresse für diesen Eintrag:
http://www.typepad.com/services/trackback/6a00d83451c7b569e2010536edb75c970c

Listed below are links to weblogs that reference iWorkServices: Trojaner nutzt iWork '09-Installer als Tarnung [Update]:

Kommentare

Feed You can follow this conversation by subscribing to the comment feed for this post.