sprawdź czy Twój Mac nie jest zombie
Posted on Kwiecień 29, 2009 by MacKozer
Zgodnie z obietnicą daną we wcześniejszym wpisie dotyczącym programu antywirusowego ClamXav, przytaczam, za AppleBlog.com, sposób w jaki możemy sprawdzić czy nasz Mac nie jest przypadkiem zombie należącym do botnetu. Szczególnie uczulone na ten fakt powinny być osoby, które skorzystały z pirackiego iWork 2009.
Źródło: Wikipedia, autor zdjęcia: Joel Friesen (Licencja Creative Commons)
Aby dowiedzieć się czy nasz komputer stanowi część makowego botnetu wystarczy wykonać kilka komend w terminalu wyszukujących informacji o procesie lub katalogach o nazwie iworkserv, będących ewidentnym znakiem rozpoznawczym złośliwego oprogramowania zamieniającego nasz komputer w zombie.
sudo ps aux |grep -i iworkserv |grep -v "grep" sprawdza czy w systemie działa proces o nazwie iworkserv. Jeśli nie otrzymamy żadnych wyników, możemy odetchnąć z ulgą, w innym przypadku mamy problem.sudo lsof -i -P|grep -i iworkserv sprawdza czy w systemie żaden proces mający w nazwie iworkserv nie korzysta z żadnych plików w naszym systemie. Jeśli uzyskamy jakiekolwiek wyniki, nasz komputer jest z pewnością zainfekowany.
sudo find / -iname "iworkserv*" -print ostatnia komenda poszukuje plików zawierających w nazwie iworkserv. Podobnie jak w powyższym przypadku, brak wyników to dobry wynik. Jakikolwiek znaleziony plik świadczy o infekcji.Wspomnieć także wypada, że autorzy serwisu SecureMac opublikowali darmowy program, który usuwa trojana jaki instalował się w systemie wraz z pirackim iWork2009. Więcej informacji na ten temat znajdziecie na stronie http://www.securemac.com/, gdzie należy szukać iServices Trojan Removal Tool 1.1
Comments (6)
Twoje fancy unikodowe cudzyslowy powoduja ze przeklejenie grepa w ciapach do terminala zwraca wynik. Co prawda nie ten wlasciwy, ale kogos niedoswiadczonego moze przyprawic o zawal.
W poszukiwaniu procesu “iworkserv” zamiast Terminala można posłużyć się Activity Monitor’em (czyt. Monitorem Aktywności). Wystarczy przefiltrować listę procesów pod kątem “iworkserv”. Obejdzie się bez “krzaków dla brodaczy” i sudo
.
Ok. Odpaliłem sobie :
sudo ps aux |grep -i iworkserv |grep -v “grep”
i otrzymałem:
ddluk 827 0.0 0,0 599820 464 s000 S+ 1:25 0:00.01 grep -i iworkserv
Czyli, że coś sobie siedzi. Następnie wedle instrukcji kolejne polecenia, które nic nie wyświetliły. Pobrałem więc wyżej wymieniony program, przeskanowałem maka i też nic nie ma. Not mam tego trojana czy nie
??
To znaczy, że nic nie ma. Czytać się naucz: grep -i iworkserv znaczy, że odpaliło grepa z argumentami -i iworkserv
Komenda by działała, jeśli cudzysłowy byłyby normalne – czyli takie: “”, a nie “”. Dla nas to nie ma różnicy, ale dla shella jest. Gdyby były dobre cudzysłowy to grep by odfiltrował grepa z arg -i iworkserv.
Widzę, że cudzysłów został pięknie skonwertowany na ten unikodowy… No cóż… Bywa.
cudzysłowy już poprawiłem…