Here is a modified installer :



Here is what a clean installer looks like :

If you want to test whether your machine is touched or not, you don’t have to go through many steps: in the Finder, just go to /System/Library/StartupItems/ and check if there is a file named “iWorkServices”. If yes, your Mac is a victim.

Or just launch the Terminal and enter the following command. If you get “No matching processes belonging to you were found” as a response, it means you’re not affected.

Here is what it might look like…

Last login: Mon Jan 19 18:36:11 on console
imac:~ user$ killall -9 iWorkServices
No matching processes belonging to you were found
imac:~ user$

Just in case you’re a victim, removal of this trojan is as easy as a few line command in Terminal, you might even copy from here and paste them in Terminal.

The full procedure is as follows… but only do it if you’re certain not to do a mistake. A wrong manoeuvre in the Terminal can easily lead to a major catastrophy.

• Launch the Terminal
• sudo su (enter your admin password)
• killall -9 iWorkServices
• rm -r /System/Library/StartupItems/iWorkServices
• rm /private/tmp/.iWorkServices
• rm /usr/bin/iWorkServices
• rm -r /Library/Receipts/iWorkServices.pkg

Or, if you prefer to do it more Mac-like, you can also use the free iWorkServices Trojan Horse Removal Tool from MacScan that can be downloaded here: iWorkServices Trojan Horse Removal Tool

And, of course, trash your dirty installer of iWork ’09. Why not buy it, while you’re at it?

Anyway, you CAN NOT be infected, because it is NOT a virus. It can not spread from one machine to another.

And you can have this trojan installed only by a corrupt iWork ’09 installer, because, to install this, you have to actively launch it and grant your administrator authorisation to proceed. It is the only way.

This is another good reason to buy Apple software.

And now that some assholes have found this new way to infect machines, it’s almost certain they will do this with other installers. Watch out for the soon to be released iLife ’09, for example.

Once again, this can not happen with legitimate software, only with pirated ones. I’m just sharing this information here to help people who could have been fooled by believing the free download of iWork ’09 provided by Apple being too slow, they just gained a lot of time by using the P2P sharing.




Il n’y a toujours aucun virus touchant Mac OS X, contrairement à ce que clament à l’envi les stupides et bornés zélateurs de windows. Mais un cheval de troie a acquis une certaine notoriété, récemment. Parce qu’il a permis à une bande d’enfoirés d’utiliser les Macs des victimes pour des attaques de type DOS.

L’explication complète se trouve sur le site d’Intego. Sur leur blog et dans leur rapport complet.

Il est assez vicieux et s’avère simple et efficace en se glissant tout simplement dans l’installeur de la dernière version d’iWork, en tant que package supplémentaire. Le coupable est “iWorkServices.pkg” qu’on peut voit ci-après et qui ne devrait pas y être. Faites un clic droit sur l’installeur de iWork ’09 et choisissez “Afficher le contenu”.

Voici un installeur modifié :



Voici à quoi un installeur propre ressemble :

Si vous voulez tester votre machine, il n’y a pas besoin de faire grand-chose : dans le Finder, allez dans le dossier /Système/Bibliothèque/StartupItems/ et regardez si vous y trouvez un fichier nommé “iWorkServices”. Dans l’affirmative, votre machine est touchée.

Ou bien lancez le Terminal et tapez la commande suivante. Si la réponse est “No matching processes belonging to you were found”, vous n’êtes pas touché.

Voilà à quoi cela peut ressemblet…

Last login: Mon Jan 19 18:36:11 on console
imac:~ user$ killall -9 iWorkServices
No matching processes belonging to you were found
imac:~ user$

Au cas où vous seriez touché, l’éradication de ce cheval de troie est aussi simple que quelques lignes de commande dans le Terminal, vous pouvez même les copier ici et les coller dans le Terminal.

Voici la procédure complète… mais ne vous y attaquez que si vous êtes sûrs de vous. Une mauvaise manipulation dans le Terminal peut facilement provoquer une énorme catastrophe.

• Lancez le Terminal
• sudo su (entrez votre mot de passe administrateur)
• killall -9 iWorkServices
• rm -r /System/Library/StartupItems/iWorkServices
• rm /private/tmp/.iWorkServices
• rm /usr/bin/iWorkServices
• rm -r /Library/Receipts/iWorkServices.pkg

Ou, si vous préférez le faire de façon plus Mac, vous pouvez aussi utiliser l’outil gratuit d’éradication du cheval de troie iWorkServices de MacScan qui peut être téléchargé ici :that can be downloaded here: outil d’éradication de iWorkServices

Et, bien sûr, jetez votre installeur vérolé d’iWork ’09. Pourquoi ne pas l’acheter, tant que vous y êtes ?

Toujours est-il que vous ne POUVEZ PAS être infecté, parce qu’il ne s’agit PAS d’un virus. Il ne peut pas se propager de lui-même d’une machine à l’autre.

Et ce cheval de troie ne peut être installé que par une version corrompue de l’installeur d’iWork ’09, parce que, pour l’activer, il faut que l’utilisateur lance la procédure et donne son mot de passe administrateur. C’est le seul moyen.

Encore une bonne raison pour acheter les logiciels Apple.

Et maintenant que des enfoirés ont trouvé ce moyen d’infecter nos machines, il est pratiquement certain qu’il vont en faire autant en utilisant d’autres installeurs. Soyez prudents avec la prochaine sortie d’iLife ’09, par exemple.

Une fois de plus, cela ne peut pas se produire avec un logiciel original, seulement avec un piraté. Je ne partage cette information que pour aider des personnes qui auraient pu se faire avoir en croyant que le téléchargement gratuit d’iWork ’09 proposé par Apple légalement étant trop lent, le recours au p2P leur faisait économiser beaucoup de temps.

Tags: Mac OS X, Trojan, virus