Hace escasos días os informábamos de la existencia de una red botnet de macs “zombies”, o lo que es lo mismo: Alquien está usando los macs de algunos usuarios para efectuar ataques ilegales sin que ellos se den cuenta.
Para saber si tú formas parte de esta red sin darte cuenta y eliminar el troyano en el caso de que estés infectado, existen una serie de comandos del terminal. Lo primero que tenemos que hacer es ejecutar el siguiente comando de terminal (os pedirá la contraseña de administrador) para comprobar si estamos infectados o no:
sudo ps aux | grep -i iworkserv | grep -v "grep"
Si la ejecución de este comando no os devuelve absolutamente nada, ya podéis respirar tranquilos y dejar de leer este artículo. Si os devuelve algún resultado, probablemente estéis infectados. Ejecutad los comandos que se listan en la entrada extendida.
Una vez que sabemos que estamos infectados, ejecutaremos el siguiente comando para comprobar si hay algún fichero abierto por el proceso iWorkServices (el responsable de la infección y presente en las versiones pirateadas de iWork’09).
sudo lsof -i -P | grep -i iworkserv
Si este comando devuelve algún archivo, probablemente estás infectado. Ejecuta el siguente comando para encontrar esos ficheros en tu disco duro:
sudo find / -iname "iworkserv*" -print
Si este comando te devuelve algún resultado, lo más seguro es que estés infectado, y se recomienda encarecidamente que ejecutes una herramienta gratuita de eliminación del Troyano, realizada por SecureMac y descargable desde aquí.
Vía | The Apple Blog
Imagen | Flickr de ancientvine
Ver 30 comentarios
30 comentarios
Kami
Bueno, yo tengo versiones piratas de programas y no estoy infectado :D Y no me da vergüenza admitir que no todo el software que tengo es de pago, aqui cada uno es libre de hacer lo que quiera (asta d acer faltas d hordografia :) )
PD: INSTRUCCIONES PARA LOS QUE NO SABEN LO QUE ES LA TERMINAL
1.-Buscar en spootlight terminal, abrirlo. 2.-Pegar sudo ps aux | grep -i iworkserv | grep -v "grep" 3.-Darle al enter. 4.-Pone password, no pasa nada! Escribis vuestra contraseña (Parece que no escribes nada pero solo tienes que escribirla y darle al enter) 5.-Listo! :)
otto.st
En versiontracker podéis conseguir listado de antivirus para mac, el de pctools es gratuito (buscar palabra antivirus).
Clix es un software que trae una serie de comandos bash que os pueden ayudar con este tema, entre muchos otros, es casi la biblia de recetas para comandos directos. De hecho trae varios comandos para detectar troyanos.
Buen artículo.
JAD
marco, chaval. Dime una cosita. ¿Te has descargado iWork de un sitio pirata? ¿O Photoshop?
JAD
@pizte, se agradece tu comentario. De los pocos comentarios no idiotas que se han hecho xD. Ha sido todo un record.
raiden205
Me salve...! gracias por el post.
kl0x
Joder vaya comentarios.. | no es una l xDD
Para que luego digan que mac es de genios xD
pizte
Dejaré una pequeña explicación del comando para aquellos que les interese, ya que hay gente que quiere saber lo que está haciendo.
sudo: Sirve para ejecutar un comando con privilegios de 'root' o 'administrador'. Requiere contraseña, lógicamente.
ps aux: ps es un comando que muestra los procesos activos en la máquina. El 'aux' son parámetros, encontraréis más información si ponéis en la terminal 'man ps'.
La famosa '|' que no es una 'L / l' sino un símbolo que se utiliza para hacer 'pipes' o 'tuberias' entre varios comandos, de esa forma el resultado de un comando se pasa al siguente, etc. La tecla es Alt + 1.
grep -i iworkserv: Filtra el resultado de 'ps' mostrando solo los procesos o 'programas' relacionados con 'iworkserv'. El parámetro -i solo sirve para que no se distinga entre mayusculas/minusculas.
El siguiente grep lo que hace es eliminar "grep" del resultado, para que no interfiera.
Cualquier duda, podéis investigar las páginas man desde la terminal poniendo: man
¿Se nota mucho que uso Linux? jejeje.
vgomezs
¡No soy zombie!!! Jajaj.. Gracias por el aporte, sois geniales!!! Saludos a todo Applesfera.
Usuario desactivado
Yo tampoco ufffff, la verdad es que llevo con mi imac desde el miercoles santo y bueno, probando pues he instalado varios programas, pero no estoy infectado.
nickywes
yo tb estoy limpio,jaja, muchisimas gracias por vuestros trucos tan bueno como siempre :-)
MACUARRO
Yo tecleo el pasword y al darle enter me aparece lo siguiente(la segunda linea aparece al teclear el pasword)
Password: Ordenador-de-iBook-G3:~ ibookg3$
Estoy infectado??? gracias poe esta entrada es muy util
marcelocx
Hola, A mi me sucede lo mismo que a la persona del ultimo comentario. Me devuelve MARCELO06:~ Marcelo$ donde MARCELO06 es el nombre de la iMac. Estoy infectado? Desde ya les agradesco cualquier ayuda.
Gracias,
Marcelo :)
unamenos
No dudo que haya ordenadores infectados pero está claro que las empresas que desarrollan antivirus y antitroyanos están muy interesadas en dar mucha publicidad a esto.
andyjobs
Yo tampoco soy zombi.....uffff que alivio mi MacBook Pro a salvo :)
huesli
yo tengo un problema, cuando me sale lo de escribir contraseña....no me deja escribir nada!que hago mal?
polaris
#4 y #5 No, no estais infectados. #8 Aun que al teclear la contraseña no veas nada en la pantalla la estas escribiendo igual, escribela y pulsa enter.
marcobaronev
Hola ! a mi me apareció esto
/Applications/iWorkServices Trojan Removal Tool.app /Applications/iWorkServices Trojan Removal Tool.app/Contents/MacOS/iWorkServices Trojan Removal Tool /Volumes/iWorkServices Trojan Removal Tool /Volumes/iWorkServices Trojan Removal Tool/iServices Trojan Removal Tool.app/Contents/MacOS/iWorkServices Trojan Removal Tool /Volumes/MSASI/Documents/Programas/iWorkServicesTrojanRemovalTool.dmg
y ejecute el iservices trojan removal tool y me comenta que iservices trojan was not detected
Mac Elros
hasta los macs con software anti-malware! ai q ver...
lucas
Todos los que comentan aquí "Ufff, no estoy infectado..." es porque han instalado software "compartido", verdad?
jjj
marcelocx
Gracias Polaris :)
javijazz21
Como se esriben esos codigos en la terminal??? puso "sudo ps aux" y despues pone como una barra que parece una "l" es una L????
lamoleet
fyu de la que me salve ehehe
imanzanita
El virus solo se adquiere al tener o descargar una vercion pirata de iWork y Photo shop sierto, Entonces no tengo de que preocuparme.
kny
Ya me perdonareis, pero: ¿DÓNDE DEBO EJECUTAR LOS COMANDOS?
Ser switcher es lo que tiene...
lamoleet
#20 en terminal y si no lo encuentras tecleadle en spotlinght terminal (es el icono de hasta arriba a la derecha la lupa)
guidows
esto me suena mas a cazabobos de parte de los antivirus antes que real.
iLife 09, iWorks y Photoshop, todos bajados de bittorent (es decir, piratas) y ningun problema de troyanos ni nada de eso.
pd: y era mas facil simplemente revisar si tienes algo simplemente mirando el contenido del /System/Library/StartupItems/ y /Library/StartupItems
Refresco Fanta
Pues simplemente la forma mas segura de descargar iWork, es la oficial y completamente legal. Bajando el Trial de 30 días de la página de Apple que es completamente funcional durante ese periodo del tiempo. Y es posible comprar una licencia para que no caduque. Otra cosa será que haya quienes adquieran el serial por otros medios. Pero vamos, que con Photoshop se puede hacer exactamente lo mismo, si quieres bajar algo seguro lo mejor es bajarlo de la pagina oficial de Adobe, o Apple en estos casos.
Raul Nr
Pues yo estoy limpio como la manzana de mi MB!!!!
Arcadia_DSG
yo copio la linia
sudo ps aux | grep -i iworkserv | grep -v "grep"
y la pego.
y no me pide que ponga password ni nada :nusenuse:
ichocobo
entiendo que esto solo sirve para las copias piratas de iWork, no? pero no funcionaria con el troyano de photoshop.