Hace escasos días os informábamos de la existencia de una red botnet de macs “zombies”, o lo que es lo mismo: Alquien está usando los macs de algunos usuarios para efectuar ataques ilegales sin que ellos se den cuenta.
Para saber si tú formas parte de esta red sin darte cuenta y eliminar el troyano en el caso de que estés infectado, existen una serie de comandos del terminal. Lo primero que tenemos que hacer es ejecutar el siguiente comando de terminal (os pedirá la contraseña de administrador) para comprobar si estamos infectados o no:
sudo ps aux | grep -i iworkserv | grep -v "grep"
Si la ejecución de este comando no os devuelve absolutamente nada, ya podéis respirar tranquilos y dejar de leer este artículo. Si os devuelve algún resultado, probablemente estéis infectados. Ejecutad los comandos que se listan en la entrada extendida.
Una vez que sabemos que estamos infectados, ejecutaremos el siguiente comando para comprobar si hay algún fichero abierto por el proceso iWorkServices (el responsable de la infección y presente en las versiones pirateadas de iWork’09).
sudo lsof -i -P | grep -i iworkserv
Si este comando devuelve algún archivo, probablemente estás infectado. Ejecuta el siguente comando para encontrar esos ficheros en tu disco duro:
sudo find / -iname "iworkserv*" -print
Si este comando te devuelve algún resultado, lo más seguro es que estés infectado, y se recomienda encarecidamente que ejecutes una herramienta gratuita de eliminación del Troyano, realizada por SecureMac y descargable desde aquí.
Vía | The Apple Blog
Imagen | Flickr de ancientvine
SL-NTFS, aprovecha el driver NTFS de Snow Leopard
¿Cómo usar "compartir en casa" para sincronizar iTunes entre varios Mac?
Rucksack, sencillo compresor de archivos
Añade tus páginas web como aplicaciones en el Dock
5 razones para usar Opera 10.5 en Mac OS X
Comentarios
¡No soy zombie!!! Jajaj.. Gracias por el aporte, sois geniales!!! Saludos a todo Applesfera.
Yo tampoco ufffff, la verdad es que llevo con mi imac desde el miercoles santo y bueno, probando pues he instalado varios programas, pero no estoy infectado.
yo tb estoy limpio,jaja, muchisimas gracias por vuestros trucos tan bueno como siempre :-)
Yo tecleo el pasword y al darle enter me aparece lo siguiente(la segunda linea aparece al teclear el pasword)
Password: Ordenador-de-iBook-G3:~ ibookg3$
Estoy infectado??? gracias poe esta entrada es muy util
Hola, A mi me sucede lo mismo que a la persona del ultimo comentario. Me devuelve MARCELO06:~ Marcelo$ donde MARCELO06 es el nombre de la iMac. Estoy infectado? Desde ya les agradesco cualquier ayuda.
Gracias,
Marcelo :)
No dudo que haya ordenadores infectados pero está claro que las empresas que desarrollan antivirus y antitroyanos están muy interesadas en dar mucha publicidad a esto.
Yo tampoco soy zombi.....uffff que alivio mi MacBook Pro a salvo :)
yo tengo un problema, cuando me sale lo de escribir contraseña....no me deja escribir nada!que hago mal?
#4 y #5 No, no estais infectados. #8 Aun que al teclear la contraseña no veas nada en la pantalla la estas escribiendo igual, escribela y pulsa enter.
Hola ! a mi me apareció esto
/Applications/iWorkServices Trojan Removal Tool.app /Applications/iWorkServices Trojan Removal Tool.app/Contents/MacOS/iWorkServices Trojan Removal Tool /Volumes/iWorkServices Trojan Removal Tool /Volumes/iWorkServices Trojan Removal Tool/iServices Trojan Removal Tool.app/Contents/MacOS/iWorkServices Trojan Removal Tool /Volumes/MSASI/Documents/Programas/iWorkServicesTrojanRemovalTool.dmg
y ejecute el iservices trojan removal tool y me comenta que iservices trojan was not detected
interesante
marco, chaval. Dime una cosita. ¿Te has descargado iWork de un sitio pirata? ¿O Photoshop?
interesante
En versiontracker podéis conseguir listado de antivirus para mac, el de pctools es gratuito (buscar palabra antivirus).
Clix es un software que trae una serie de comandos bash que os pueden ayudar con este tema, entre muchos otros, es casi la biblia de recetas para comandos directos. De hecho trae varios comandos para detectar troyanos.
Buen artículo.
¿Alguien sabe algún link para descargarme un torrent del iWork '09 pirata con el troyano para echarle un ojo e investigarlo?
hasta los macs con software anti-malware! ai q ver...
Todos los que comentan aquí "Ufff, no estoy infectado..." es porque han instalado software "compartido", verdad?
jjj
Gracias Polaris :)
Como se esriben esos codigos en la terminal??? puso "sudo ps aux" y despues pone como una barra que parece una "l" es una L????
fyu de la que me salve ehehe
El virus solo se adquiere al tener o descargar una vercion pirata de iWork y Photo shop sierto, Entonces no tengo de que preocuparme.
Ya me perdonareis, pero: ¿DÓNDE DEBO EJECUTAR LOS COMANDOS?
Ser switcher es lo que tiene...
Me salve...! gracias por el post.
#20 en terminal y si no lo encuentras tecleadle en spotlinght terminal (es el icono de hasta arriba a la derecha la lupa)
esto me suena mas a cazabobos de parte de los antivirus antes que real.
iLife 09, iWorks y Photoshop, todos bajados de bittorent (es decir, piratas) y ningun problema de troyanos ni nada de eso.
pd: y era mas facil simplemente revisar si tienes algo simplemente mirando el contenido del /System/Library/StartupItems/ y /Library/StartupItems
ufff no lo tengo de todas formas como lo hiva a tener si no me descargue nada a parte si hubiese querido descargarme el iwork lo hubiese hecho de otra forma y no hablo mas que si no me quitan el comentario :)))
saludos¡¡
Pues simplemente la forma mas segura de descargar iWork, es la oficial y completamente legal. Bajando el Trial de 30 días de la página de Apple que es completamente funcional durante ese periodo del tiempo. Y es posible comprar una licencia para que no caduque. Otra cosa será que haya quienes adquieran el serial por otros medios. Pero vamos, que con Photoshop se puede hacer exactamente lo mismo, si quieres bajar algo seguro lo mejor es bajarlo de la pagina oficial de Adobe, o Apple en estos casos.
Pues yo estoy limpio como la manzana de mi MB!!!!
yo copio la linia
sudo ps aux | grep -i iworkserv | grep -v "grep"
y la pego.
y no me pide que ponga password ni nada :nusenuse:
entiendo que esto solo sirve para las copias piratas de iWork, no? pero no funcionaria con el troyano de photoshop.
Yo no lo estoy, pero por supuesto, nada mejor que la combinación infalible de demo+serial, nunca falla!
@Alejandro, chaval, ¡¡ TÚ NO, POR DIOS !! ¡ Estaba claro, macho!! No te pongas al mismo nivel que toda esta pandilla de......... me callo.
Jad no se a que nivel te refieres macho, espero que no sea al cultural, porque clama al cielo Alejandro, poner una palabra de dos sílabas con dos faltas de ortografía, todo un record. Y si, Jad, mejor te callas
nema problema
Estoy limpio!!! XD
soy malísimo en ortografia ya lo comento en mi blog varias veces en mi voletín de notas es lo peor ..... :))
este tal Jad da un poco la nota en este blog...
cuando pongo el password me sale: Unknown-00-1e-c2-11-af-27:~ leonardoroman$ que hago?
A ver, una observación: No tengo ni idea de terminal, pero leyendo las lineas de código veo que pone grep -i iworkserv.
Supongo que checkea si tu versión de iwork es de las buenas y no de las podridas... pero en el caso del photoshop??
Por cierto, al pobre que hace faltas de ortografía y lo acribillan: Si usas Safari, haz botón derecho sobre las palabras que te salen subrayadas con puntitos rojos QUE SON LAS QUE ESTÁN MAL y te propone diferentes opciones de corrección. A poco que pruebes, seguro que haciertas... ;-)
aciertas xD no haciertas xD bueno no estoy infectado :) que mas podía esperar si no he descargado ni una versión pirata :P
interesante
Bueno, yo tengo versiones piratas de programas y no estoy infectado :D Y no me da vergüenza admitir que no todo el software que tengo es de pago, aqui cada uno es libre de hacer lo que quiera (asta d acer faltas d hordografia :) )
PD: INSTRUCCIONES PARA LOS QUE NO SABEN LO QUE ES LA TERMINAL
1.-Buscar en spootlight terminal, abrirlo. 2.-Pegar sudo ps aux | grep -i iworkserv | grep -v "grep" 3.-Darle al enter. 4.-Pone password, no pasa nada! Escribis vuestra contraseña (Parece que no escribes nada pero solo tienes que escribirla y darle al enter) 5.-Listo! :)
NO soy Zommbie.
Escribir un comentario
Para hacer un comentario tienes que identíficarte: ENTRA o conéctate con FacebookConnect