00012972

Aunque no es algo nuevo  siempre causa revuelo cuando se extiende la noticia de que han introducido un troyano  en algunas copias pirata de algún software comercial.

Te explicamos cómo saber si estás infectado y limpiar tu Mac si es necesario. Pero que no cunda el pánico. La posibilidad de que estés infectado es, como siempre, remota.

Nos lo comentaba Mago en el foro de Actualidad Mac .

La empresa Intego , creadora de diverso software de seguridad para Mac OS X y Windows, avisa de la existencia de un troyano en algunas versiones pirateadas de iWork '09 . Dichas versiones se aprovechan de la necesidad de ser administrador durante la instalación de iWork 09 para instalar un elemento adicional en la ruta MacintoshHD /Sistema/Libreria/StartupItems, llamado iWorkServices, que es un troyano y cuyo nivel de riesgo ha sido calificado por Intego de "serio".

El troyano habría sido maliciosamente incluido dentro de los paquetes de instalación de dicho software (que se está distribuyendo por algunas redes P2P) y que vendría camuflado dentro del instalador bajo el nombre "iWorkServices.pkg".

El cual se instalaría en el Mac en la ruta antes descrita, donde tendrá permisos de lectura, escritura y ejecución como administrador y se lanzará cada vez que enciendas el Mac.

En concreto podría verse haciendo click de ratón con el botón derecho sobre el paquete instalador pirata de iWork 09 incluído en el disco de instalación: "Install iWork´09"  seleccionando "mostrar contenido del paquete" y navegando hasta la carpeta Contents/Package. Dentro de esta última, en las copias afectadas, se encontraría el fichero iWorkServices.pkg como puedes ver en esta imagen obtenida a partir de un instalador pirata infectado por el troyano:

 ism0901

 

 

 

 

 

 

 

 Evidentemente las copias legales de iWork 09 no incluyen este fichero malicioso.

¿Qué efectos causa en los ordenadores afectados?

 El software iWork 09 funciona con aparente normalidad pero el troyano instalado en el Mac afectado otorgaría a un tercero el control remoto de la máquina infectada, con consecuencias que podrían ser realmente dañinas tanto para la máquina  como para la privacidad del usuario.

¿Qué tengo que hacer si sospecho que estoy infectado? (gracias Minaya )

Vete a la ruta Macintosh HD /Sistema/Libreria/StartupItems y asegúrate de que allí no existe un fichero llamado iWorkServices.

Si no tienes este fichero no te preocupes más.

Si lo tienes, significa que estás infectado. Sigue estos pasos para eliminarlo:

1) Abre el Terminal (Aplicaciones>>Utilidades>>Terminal) y teclea los siguientes comandos seguidos de la tecla retorno cada vez.

2) sudo su (tendrás que escribir tu password de administrador aunque no veas lo que estás tecleando).

3) rm -r /System/Library/StartupItems/iWorkServices

4) rm /private/tmp/.iWorkServices

5) rm /usr/bin/iWorkServices

6) rm -r /Library/Receipts/iWorkServices.pkg

7) killall -9 iWorkServices

¿Hay algún medio más sencillo de eliminar el troyano de mi Mac?

Si el sistema que acabamos de explicar es muy complejo para tí, no te preocupes, la empresa MacSan ha puesto a tu disposición, gratis, un miniprogramita muy simple, "iWorkServicesTrojanRemovalTool", que se encarga de eliminar el troyano de tu ordenador: bájatelo pinchando aquí (gracias a Juan).

¿Cómo puedo evitar esto en el futuro?

Lo ideal es que compres el software que vas a usar o utilices alternativas de software libre si no puedes o no quieres pagar las licencias. Pero en cualquier caso no parece muy sensato por parte del usuario instalarse cosas en su ordenador sin tener antes referencias fiables de terceros sobre su funcionamiento.

¿Te tomarías una pastilla sin saber qué es ni qué efecto produce en tu organismo sólo porque alguien a quien no conoces ni sabes quién es te la ha regalado?.

Es decir, si decides tomarte la pastilla, por lo menos vete a por ella a un sitio donde haya gente que ya la haya tomado y esté comentando qué pasa cuando te la tomas. Así sabes qué tomas y qué efectos cabe esperar. Lo contrario es un disparate.

¿Significa esto que los Mac están expuestos a virus o troyanos igual que un Windows? ¿Ha cambiado algo en la seguridad de los Mac?

No ha cambiado nada. Los Mac siguen siendo igual de seguros que han sido siempre y sigues sin necesitar instalar un antivirus en tu Mac.

Es importante que entiendas que "No hay un antes y un después a partir de este troyano en cuanto a seguridad informática en Mac OS X".

Ni este es el primer troyano que aprovecha esta "temeridad" por parte de algunos incautos usuarios ni será el último. Es algo que viene ocuriendo cada 4 ó 5 años y afecta a un puñado de personas en todo el mundo.

Esto sólo significa que no te puedes instalar algo en tu Mac, autorizándolo con claves de administrador sin estar seguro de qué es.

Contra eso no te puede proteger nadie.Piensa que eso no es un virus. Que no se cuela por la puerta trasera de tu Mac sin que te enteres: Es un troyano que se instala porque tú lo permites. Porque tú lo instalas, manualmente y expresamente.

No es la primera vez que ocurre ni será la última, aunque no es algo frecuente.

 ¿Debo preocuparme por el uso que hagan de mi Mac otras personas de la casa o la empresa?

 No, siempre que no accedan a tu Mac como administradores. Crea cuentas de invitado para las personas que usen tu Mac y no permitas que nadie, salvo tú, administre tu Mac.

Si tienes más dudas coméntalas en los foros .