A Intego, fabricante de antivírus e firewall, informa que uma versão do iWork'09 disponível para download em sites de pirataria está infectada com um cavalo de troia. A empresa informa que foram feitos pelo menos 20 mil downloads do instalador infectado, e o risco de infecção é sério.

O cavalo de troia OSX.Trojan.iServices.A foi descoberto ontem (21) e é considerado uma ameaça séria pela Intego. Essa versão contaminada do iWork'09 está disponível em sites de BitTorrent e fóruns pela web.

O iWork'09 é completo e funcional, mas o instalador contém um pacote adicional chamado iWorkServices.pkg, segundo a Intego. Ao abrir o iWork'09, o pacote iWorkServices é instalado também. O cavalo de troia inicia seu processo quando o instalador pede a senha de administrador do Mac (a senha não será requisitada em versões do Mac OS X anteriores à 10.5.1), de acordo com a Intego.

"O software é instalado como um item de inicialização (em /System/Library/StartupItems/iWorkServices), onde consegue ler, gravar e executar permissões", disse a empresa de segurança. "O software malicioso então se conecta a um servidor remoto na internet; isso significa que um usuário malicioso será alertado se esse cavalo de troia for instalado em distintos Macs, e terá a capacidade de se conectar a eles e realizar ações remotamente. O cavalo de troia também poderá baixar componentes adicionais para um Mac infectado".

Vale lembrar que o cavalo de troia não é um vírus - não consegue se espalhar de uma máquina para outra. Para funcionar, o usuário necessariamente precisa baixar e instalar a cópia pirata do iWork'09. Para verificar se você foi infectado, veja se a pasta System | Biblioteca | StartupItens contém um item chamado iWorkServices.

Uma vez infectado, o processo de limpar o sistema pode ser doloroso. Como o cavalo de troia consegue instalar componentes adicionais, não é suficiente remover os arquivos conhecidos. O método mais seguro para recuperação é formatar a máquina e reinstalar o Mac OS X. Como o cavalo de troia pode modificar aplicações instaladas, os programas devem ser reinstalados a partir dos discos originais, e não de backups.

Como sempre, o melhor método de prevenção é não baixar arquivos de fontes desconhecidas. Os antivírus VirusBarrier X4 e X5 vão detectar o cavalo de troia, prevenindo sua instalação e removendo o que pode ter sido infectado.

No começo desta semana, a Apple removeu a necessidade de digitar um número de série quando o iWork'09 for comprado em caixas, levando à especulação de que a empresa abandonou medidas contra a pirataria.