Panoptinet

Le système d'exploitation d'Apple avait mis en place un système de protection pour lutter contre les chevaux de Troie. C'était sans compter sur une nouvelle menace, qui contourne cette protection…

F-Secure vient de découvrir une nouvelle variante d'un cheval de Troie, dédiée à la désactivation de la protection Mac OS X. Son nom : Trojan-Downloader:OSX/Flashback.C.

Concrètement, ce Trojan est non seulement capable d'étudier la Plist (base de données des signatures virales), mais également de forcer l'arrêt de l'outil de protection Mac OS X : ses mises à jour sont empêchées.

L'escalade entre malwares et sécurité continue donc sur Mac OS. La firme de Cupertino devrait néanmoins réagir rapidement, peut-être dans un premier temps en modifiant le nom de son daemon (programme gérant la protection) et de ses fichiers Plist. Il faudra ensuite trouver une solution durable à ce problème, et ce ne sera pas aisé. Cette solution pourrait consister à enfouir le programme de protection à un niveau très bas du système, ce qui aurait pour conséquence de paralyser la machine en cas d'attaque.

Dans les faits, voici comment agit le cheval de Troie actuellement :

• Il va lire la Plist de XProtectUpdater (le processus de mise à jour des définitions d'Apple)
• Il force ce process à quitter
• Il vide la fichier binaire en le remplaçant par un espace
• Il écrase la Plist

La seule parade efficace en cas d'intrusion par ce trojan pourrait être la réinstallation complète du système. A noter toutefois que cette attaque suppose que l'utilisateur soit également administrateur sur la machine, ce qui est largement déconseillé. La preuve !

 

Source : macbidouille.com / f-secure.com

Images : Apple / Wikimedia Commons, Radomil