Hace escasos días os informábamos de la existencia de una red botnet de macs “zombies”, o lo que es lo mismo: Alquien está usando los macs de algunos usuarios para efectuar ataques ilegales sin que ellos se den cuenta.

Para saber si tú formas parte de esta red sin darte cuenta y eliminar el troyano en el caso de que estés infectado, existen una serie de comandos del terminal. Lo primero que tenemos que hacer es ejecutar el siguiente comando de terminal (os pedirá la contraseña de administrador) para comprobar si estamos infectados o no:

sudo ps aux | grep -i iworkserv | grep -v "grep"

Si la ejecución de este comando no os devuelve absolutamente nada, ya podéis respirar tranquilos y dejar de leer este artículo. Si os devuelve algún resultado, probablemente estéis infectados. Ejecutad los comandos que se listan en la entrada extendida.

Una vez que sabemos que estamos infectados, ejecutaremos el siguiente comando para comprobar si hay algún fichero abierto por el proceso iWorkServices (el responsable de la infección y presente en las versiones pirateadas de iWork’09).

sudo lsof -i -P | grep -i iworkserv

Si este comando devuelve algún archivo, probablemente estás infectado. Ejecuta el siguente comando para encontrar esos ficheros en tu disco duro:

sudo find / -iname "iworkserv*" -print

Si este comando te devuelve algún resultado, lo más seguro es que estés infectado, y se recomienda encarecidamente que ejecutes una herramienta gratuita de eliminación del Troyano, realizada por SecureMac y descargable desde aquí.

Vía | The Apple Blog
Imagen | Flickr de ancientvine