S'inscrire Se connecter

«

»

sept
28


Mac OS : un malware en moins, mais deux en plus

Une pomme peut parfois être empoisonnée...Alors que le scareware MacDefender est définitivement éradiqué depuis hier, deux nouveaux malwares spécifiques au système Mac OS font leur entrée cette semaine. Une preuve supplémentaire de l'intérêt croissant des hackers pour le système d'exploitation Apple.

Autrefois considéré comme un système libre de tout virus ou malware, Mac OS d'Apple ne fait plus aujourd'hui exception à la règle : les utilisateurs Mac doivent désormais être aussi vigilants que les windowsiens, plus habitués aux infections surprise. Cette tendance se confirme cette semaine avec l'apparition de deux nouveaux Chevaux de Troie "spécial pomme" : Revir.A et Flashback.A.

Un lot de consolation tout de même : la fin du scareware MacDefender (aka MacSecurity ou MacProtector), qui a défrayé la chronique au printemps dernier.

Le botnet hébergeant MacDefender est mort

La nouvelle est tombée hier : l'unité des crimes numériques (Digital Crimes Unit) de Microsoft a réussi à neutraliser un botnet qui abritait (sous-domaines) le fameux scareware MacDefender. Le botnet, connu sous les noms de "Kelihos" et de "Waledac 2.0", servait à l'envoi massif de spams, à des attaques d'usurpation d'identités, et à de nombreuses activités frauduleuses sur le web. Le botnet en question aurait infiltré 41 000 ordinateurs dans le monde, et serait capable d'envoyer 3,8 milliards de spams par jour !

Rappel : comment désinstaller MacDefender ?

Deux nouveaux Trojans sur Mac

La relève des malwares destinés au système Mac OS semble toutefois assurée, avec l'arrivée cette semaine de deux nouveaux Trojans (Chevaux de Troie).

Revir.A : l'exploitation d'une faille PDF

Son nom complet est Trojan-Dropper:OSX/Revir.A. Il s'agit d'un programme malveillant caché dans un document PDF rédigé en chinois. A l'ouverture du document, l'application s'exécute discrètement et ouvre une porte dérobée (backdoor) sur le système. Ne fonctionnant que sur les Mac Intel, ce malware serait capable de prendre et d'envoyer aux auteurs du programme des captures d'écran.

Un fichier PDF peut abriter un logiciel malveillant

Le Trojan reste cependant assez inoffensif pour l'instant :

  • Ses autres fonctionnalités potentielles ne sont pas encore actives
  • Le malware a du mal à communiquer avec son serveur distant
  • Le fichier ne se propage pas beaucoup sur le web

Il n'en reste pas moins que ce genre d'application reste à surveiller. Si vous pensez / craignez d'être infecté par ce Trojan, lancez le Moniteur et recherchez le processus "checkvir". Si jamais l'infection se vérifie, fermez manuellement le processus, et effacez les fichiers suivants :

  • /users/user/Library/LaunchAgents/checkvir
  • /users/user/Library/LaunchAgents/checkvir.plist

Flashback.A : un faux installeur Flash

Cet autre Cheval de Troie ne se propage qu'à travers des sites malicieux pour l'instant. Concrètement, Flashback.A désactive d'abord certains logiciels surveillant les échanges réseau, puis greffe un bout de code aux applications actives sur l'ordinateur. Flashback.A s'autodétruit, mais les morceaux de code laissés sont chargés d'envoyer sur un serveur spécifique de nombreuses informations techniques et personnelles, comme par exemple l'adresse MAC de la machine.

Le meilleur moyen d'éviter cet envahisseur ? Télécharger les applications officielles sur les sites officiels ! En l'occurrence, Flash Player sur le site d'Adobe.

Mac users, restez vigilants, et surtout mettez à jour XProtect qui intègre dès maintenant ces malwares dans sa base de données.

 

Sources : macgeneration.com / zdnet.com

Ce contenu vous a intéressé ? Partagez-le !
  • Tweet

Laisser un commentaire

Votre adresse ne sera pas publiée.

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>