Troijalaisen uusi versio leviää Photoshop CS4:n piraattiversiossa

Iwork 09:n piraattiversiosta löytyneestä troijalaisesta varoittanut tietoturvayhtiö Intego on löytänyt troijalaisesta uuden version. OSX.Trojan.iServices.B leviää Adobe Photoshop CS4:n piraattiversioissa. Yhtiö on luokitellut troijalaisen vakavaksi riskiksi.

Troijalaisen sisältäviä Adobe Photoshop CS4:n piraattiversioita levitetään muun muassa BitTorrent-palveluiden kautta. Photoshopin asennusohjelma ei ole saastunut, mutta troijalainen vaanii kräkkiohjelmassa, jonka avulla Photoshopin sarjanumerokysely voidaan ohittaa.

Integon mukaan troijalainen asentaa takaoven hakemistoon /var/tmp/, joka ei tyhjene vaikka tietokone käynnistettäisiin uudelleen. Jos kräkkiohjelma ajetaan uudelleen, asentaa se toisen tiedoston eri nimellä. Tästä syystä haittaohjelman poistaminen on aiempaa vaikeampaa. Tämän jälkeen kräkkiohjelma kysyy pääkäyttäjän salasanaa, jonka avulla se saa käyttöönsä root-oikeudet.

Ohjelma kopioi tiedoston hakemistoon /usr/bin/DivX ja luo käynnistystiedoston hakemistoon /System/Library/StartupItems/DivX. Troijalainen alkaa välittömästi ottaa yhteyttä kahteen ip-osoitteeseen, jonka jälkeen Mac on avoin vihamielisille hyökkäyksille. Troijalainen pystyy myös lataamaan sisältöä saastuneeseen Maciin, joten sitä voidaan käyttää palvelunestohyökkäyksiin.

Securemac on julkaissut ilmaisen poistotyökalun troijalaisen ensimmäiselle versiolle, joka leviää iWork 09:n piraattiversioissa.Työkalu ei ilmeisesti toimi nyt havaittuun troijalaisen toiseen versioon.

Lisää aiheesta:

1. Iwork 09:n piraattiversiossa troijalainen
2. Troijalaisen uusi versio vaanii Mac-käyttäjiä
3. Tuleva Photoshop ei 64-bittinen Macilla
4. Ensimmäinen troijalainen iPhonelle
5. Troijalainen ulos koneesta