iWork '09 불법복제판 트로이목마 제거하기
BitTorrent 등을 통해 불법적으로 공유되던 iWork ‘09에서 트로이 목마 (OSX.Trojan.iServices.A Trojan Horse) 가 발견되었습니다. 해당 바이러스는 iWork 인스톨과 동시에 시스템 폴더에 파일을 설치하고 (/System/Library/StartupItems/iWorkServices) 관리자 권한을 획득하는 것으로 알려져 있습니다. 물론 애플 홈페이지에서 체험판을 받으셨거나 정식으로 구입하신 분들에게는 해당되지 않습니다.
트로이 목마가 포함된 iWork ‘09에는 정식 버전이나 체험판에는 없는 iWorkServices.pkg 라는 패키지가 추가되어 있습니다.
그런데 그림에서 보듯이 불법 공유되고 있는 iWork ‘09는 정식 버전이 아닌 체험판 인스톨러를 사용하고 있습니다. 자신이 설치한 체험판이 애플 공식 홈페이지에서 받은 것이 아니라 공유 사이트를 통해서 받은 것이라면 시스템에 트로이 목마가 설치되지 않았는지 꼭 확인하시길 바랍니다. 체험판이 아닌 정식 버전을 불법 다운로드 하신 분들도 당연히 확인을 해보시는게 좋겠지요.
문제의 파일(/System/Library/StartupItems/iWorkServices)이 발견되었다면 iWork를 제거하는 것으로는 해결이 되지 않습니다. 맥에서 바이러스 백신을 쓰는 분이 거의 없을테니 확실한 방법은 맥을 ‘포맷’하고 OS X를 ‘재설치’하는 것입니다.
포맷이 가장 확실하겠지만 일이 너무 크다고 느낀다면 아래 방법을 ‘시도’해보세요. 맥루머스 (MacRumors) 포럼의 관련 글타래(iWork ‘09 Torrent Carrying OS X Trojan)를 통해 알게된 방법입니다.
iWorkServices 제거하기
- 터미널(terminal)을 실행 후 2~8의 과정을 수행.
- sudo su (명령 수행시 패스워드 요구함)
- rm -r /System/Library/StartupItems/iWorkServices
- rm -r /Library/Receipts/iWorkServices.pkg
- rm /usr/bin/iWorkServices
- rm /private/tmp/.iWorkServices
- killall -9 iWorkServices
- 불법다운로드 하지말기!
맥에도 이런 식으로 전파되는 스파이웨어가 나타났다는 것이 염려되기도 하지만 애초에 정품을 구입해서 쓰면 문제될 것이 없는 일입니다. 깨끗한 iWork ‘09 체험판은 애플 공식 사이트에서 받을 수 있으며, 정식 버전을 구입하고자 하면 온라인/오프라인 매장에서 직접 제품을 구입하거나 체험판 다운로드 후 온라인 상에서 제품번호만 구입하는 방법이 있습니다.
(추가) iWorkServices 트로이 목마를 손쉽게 제거하는 툴이 VersionTracker에 등록되어 있습니다.
바로가기: iWorkServices Trojan Removal Tool
관련 사이트
체험판 다운로드: http://www.apple.com/iwork/
체험판→풀버전: http://store.apple.com/us/trialsoftware/MB942
리테일버전 구입: 온라인 스토어, 기타 여러 애플 온/오프라인 매장
휴우…. 다행히 저는 없군요…;;;
앗, 그럼 나인테일님도 어둠의 경로를..?? 이러시면 아니되십니다 ^^;;
전 체험판으로 쓰고 있네요^^ㅋㅋ
저도 체험판을 받아서 쓰고 있습니다. 30일 채우면 다시 ‘08을 쓸지 구입을 할지 마음이 정해지겠지요. Early Adopter님의 iAppBox 글 잘 보고 있습니다. 유틸 앱 고르는데 도움이 많이 되네요.
전 당연히 없네요..^^
애플에서 받은 건데 혹시나 하고 확인해봤는데 역시 깨끗하네요.